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Escribir  un  buen  libro  de  texto  sobre  lógica  para  informática  es  una  contribución  difícil  de 
sobreestimar.  Entre  tanto  ruido  de  nombres  de  tecnologías,  lenguajes,  dialectos,  normas, 
estándares,  y  demás  deudos  del  gigantesco  negocio  de  las  TICs,  presentar  a  los  estudiantes 
los  fundamentos  últimos  de  todo  el  paquete  de  conocimientos  que  posibilitan  la  construcción  de 
la  tecnología  debe  saludarse,  sobre  todo  cuando  se  hace  bien,  con  simpleza  y  claridad,  sin 
perder  profundidad  ni  rigor.  Tal  es  el  caso  de  este  gran  material. 

Destino  de  los  buenos  libros,  que  deben  leerse  con  cuidado,  tiempo  y  constancia.  No  despiertan 
enormes  entusiasmos,  no  hay  muchos  promotores  de  estos  asuntos.  Por  una  parte,  el 
establishment  académico  mundial  viene  empujando  hacia  el  desván  de  las  cosas  viejas  el 
aprendizaje  de  las  ciencias  "duras"  y  los  formalismos;  el  “Consenso  de  Bologna”  es  un  ejemplo  de 
estas  prácticas.  Gran  parte  de  los  "demandantes  de  recursos  humanos",  las  cúpulas  empresarias, 
exigen  empleados  listos  para  usar,  sin  buenas  ideas  o  intereses  “exóticos”.  Las  políticas  educativas 
concilian  ambas  demandas,  y  le  suman  sus  propias  necesidades  de  índices  de  “calidad  educativa”, 
esto  es,  buena  tasa  ingreso/egreso  sin  muchas  exigencias  de  aprendizajes  profundos  y  relevantes. 
A  pocos  les  importa  el  desafío  fundamental  de  la  Universidad:  preparar  personas  con  pensamiento 
crítico,  capaces  de  enfrentar  los  desafíos  de  la  sociedad  en  los  próximos  50  años.  Un  acierto  de  la 
Editorial  de  la  UNLP,  publicar  Lógica  para  Informática. 

Hace  unos  30  años,  E.  Dijkstra,  el  pensador  más  lúcido  y  profundo  de  las  ciencias  de  la 
computación  desde  la  segunda  mitad  del  siglo  XX,  escribió  un  brillante  artículo  llamado  On  the 
cruelty  of  really  teaching  Computer  Science  (es  decir,  Acerca  de  la  crueldad  de  realmente 
enseñar  ciencias  de  la  computación).  Allí,  Dijkstra  reflexiona  acerca  de  las  dificultades  para 
comprender  qué  es  la  computación  y  para  qué  enseñarla,  en  particular  enseñar  a  programar. 
Las  dificultades  provienen  de  la  propia  naturaleza  de  la  computación.  La  computadora  digital 
moderna  introduce  dos  novedades  radicales: 

“La  primera  novedad  radical  es  una  consecuencia  directa  del  poder  brutal  de  las  computadoras 
actuales.  Todos  sabemos  cómo  lidiar  con  algo  grande  y  complejo:  divide  y  vencerás,  vemos  el  todo 
como  una  composición  de  partes  y  tratamos  con  las  partes  por  separado.  Y  si  una  parte  es  muy 
grande,  repetimos  el  procedimiento.  La  ciudad  está  compuesta  por  barrios,  que  están  a  su  vez 
estructurados  por  calles,  que  contienen  edificios,  que  están  hechos  de  paredes  y  pisos,  que  están 
construidos  de  ladrillos,  etc.,  eventualmente  llegando  a  las  partículas  elementales.  Y  tenemos  a 
todos  nuestros  especialistas  sobre  el  tema,  desde  el  ingeniero  civil,  pasando  por  el  arquitecto  hasta 
el  físico  de  estado  sólido  y  consiguientes.  Dado  que,  en  cierto  sentido,  el  todo  es  "más  grande"  que 
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sus  partes,  la  profundidad  de  una  descomposición  jerárquica  es  algún  tipo  de  logaritmo  del  cociente 
entre  los  "tamaños"  del  todo  y  las  partes  más  pequeñas.  Desde  un  bit  a  cien  mega  bytes,  desde  un 
microsegundo  a  media  hora  de  cómputos,  nos  enfrentamos  con  un  cociente  completamente 
abrumador  de  ¡  1 09!  El  programador  está  en  una  posición  inigualada,  la  suya  es  la  única  disciplina  y 
profesión  donde  un  cociente  tan  gigante,  que  sobrepasa  completamente  nuestra  imaginación, 
debe  ser  consolidado  por  una  sola  tecnología.  Debe  poder  pensar  en  términos  de  jerarquías 
conceptuales  que  son  mucho  más  profundas  que  todas  aquéllas  que  debió  enfrentar  una  sola 
mente  alguna  vez.” 

Más  adelante  indica  Dijkstra: 

“La  segunda  novedad  radical  es  que  la  computadora  automática  es  nuestro  primer  dispositivo 
digital  de  gran  escala.  Tuvimos  un  par  de  notables  componentes  discretos.  Acabo  de  mencionar  la 
caja  registradora  y  podemos  agregar  la  máquina  de  escribir  con  sus  teclas  individuales:  con  un  solo 
golpe  podemos  escribir  una  Q  o  una  W  pero,  aunque  las  teclas  están  una  al  lado  de  la  otra,  no  hay 
una  mezcla  de  las  dos.  Pero  tales  mecanismos  son  la  excepción,  la  amplia  mayoría  de  nuestros 
mecanismos  son  vistos  como  dispositivos  analógicos  cuyo  comportamiento  sobre  un  amplio  rango 
es  una  función  continua  de  todos  los  parámetros  Involucrados:  si  presionamos  la  punta  del  lápiz  un 
poco  más  fuerte,  obtenemos  una  línea  levemente  más  gruesa,  si  el  violinista  ubica  su  dedo 
levemente  fuera  de  su  posición  correcta,  reproduce  una  nota  levemente  desafinada.  A  esto  debería 
agregar  que,  en  tanto  nos  vemos  a  nosotros  mismos  como  mecanismos,  nos  vemos 
primordialmente  como  dispositivos  analógicos:  si  nos  esforzamos  un  poco  más  esperamos  rendir 
un  poco  más...  Es  posible,  inclusive  tentador,  ver  a  un  programa  como  un  mecanismo  abstracto, 
como  alguna  clase  de  dispositivo.  Pero  hacerlo,  sin  embargo,  es  altamente  peligroso:  la  analogía  es 
muy  superficial  debido  a  que  un  programa  es,  como  mecanismo,  totalmente  diferente  de  todos  los 
familiares  dispositivos  analógicos  con  los  cuáles  crecimos.  Como  toda  la  información  digitalizada, 
tiene  la  inevitable  e  Incómoda  propiedad  de  que  la  menor  de  las  posibles  perturbaciones  -  por 
ejemplo  cambiar  un  solo  bit  -  puede  tener  las  más  drásticas  consecuencias.  (Por  completltud 
agrego  que  la  situación  no  cambia  en  su  esencia  por  la  introducción  de  la  redundancia  o  la 
corrección  de  errores.)  En  el  mundo  discreto  de  la  computación,  no  hay  métrica  significativa  en  la 
cual  "pequeños"  cambios  y  "pequeños"  efectos  vayan  de  la  mano,  y  nunca  los  habrá.” 

Jerarquías  conceptuales  inéditas  y  dispositivos  digitales  a  gran  escala  están  en  la  base  de 
la  nueva  oleada  de  la  última  revolución  de  las  TICs.  Volveremos  sobre  este  asunto.  Por  lo 
pronto,  hace  30  años  la  comunidad  académica  estaba  en  grandes  dificultades  para  pensar  de 
qué  se  trataba  la  computación,  y  más  aún  cómo  enseñar  a  programar  los  nuevos  dispositivos. 
Ahora  también.  Así,  se  inventaron  numerosas  disciplinas  que  intentaron  pensar  y  enseñar  las 
cosas  nuevas  con  las  antiguas  ideas  (finalmente,  es  lo  que  ocurre  en  esos  momentos  históricos 
especiales).  Se  inventó  la  “ingeniería  del  software”  y  se  crearon  sub-dlsclplinas  como  el 
“mantenimiento”  de  los  programas  o  sistemas... viejas  ideas  de  las  ingenierías  mecánicas  y  de 
construcciones,  aplicadas  en  vano  a  la  nueva  criatura  que  nada  tenía  que  ver  con  ellas. 

Finalmente,  lo  único  que  las  computadoras  pueden  hacer  por  nosotros  es  manipular  símbolos  y 
producir  resultados  de  dichas  manipulaciones;  solo  que  la  cantidad  de  símbolos  así  como  las 
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manipulaciones  realizadas  son  vahos  órdenes  de  magnitud  mayores  que  las  que  podemos 
concebir:  desconciertan  completamente  nuestra  imaginación  y  por  lo  tanto  no  debemos  intentar 
imaginarlos.  Pero  antes  de  que  una  computadora  pueda  realizar  alguna  manipulación  con  sentido 
debemos  escribir  un  programa.  ¿Pero  qué  cosa  es  un  programa?  Simplemente,  un  programa  es  un 
manipulador  de  símbolos  abstracto,  que  puede  convertirse  en  uno  concreto  suministrándole  una 
computadora.  ¿Y  qué  aspecto  tienen  estos  manipuladores  simbólicos  abstractos?  Simplemente  son 
fórmulas  más  o  menos  elaboradas  de  un  sistema  formal.  Así  las  cosas,  la  tarea  del  programador 
consiste  en  derivar  estas  fórmulas,  y  conocemos  una  única  manera  razonable  de  realizarla: 
mediante  la  manipulación  de  símbolos  del  sistema.  Construimos  los  manipuladores  de  símbolos 
abstractos  mediante  la  manipulación  de  símbolos  humana. 

En  consecuencia,  las  ciencias  de  la  computación  están  en  la  exacta  intersección  entre  la 
manipulación  de  símbolos  mecanizada  y  humana,  habltualmente  llamadas  “computación”  y 
“programación”,  respectivamente.  Esto  nos  da  una  pista  muy  precisa  sobre  la  ubicación  de  la 
computación  en  el  contexto  de  las  disciplinas  científicas:  en  la  dirección  de  la  matemática  y  la 
lógica  aplicada,  pero  trascendiendo  largamente  las  fronteras  de  lo  que  hoy  conocemos  pues  las 
ciencias  de  la  computación  se  interesan  por  la  utilización  de  los  métodos  formales  en  una 
escala  muchísimo  mayor  de  lo  que  hemos  sido  testigos  hasta  el  momento. 

Finaliza  Dijkstra: 

“En  el  largo  plazo  espero  que  las  ciencias  de  la  computación  trasciendan  a  sus  disciplinas 
madres,  matemática  y  lógica,  efectivamente  realizando  una  parte  significativa  del  Sueño  de  Leibniz 
de  proveer  un  cálculo  simbólico  como  una  alternativa  al  razonamiento  humano.  (Por  favor,  note  la 
diferencia  entre  "imitar"  y  "proveer  una  alternativa  a":  a  las  alternativas  se  les  permite  ser  mejores.)” 

En  efecto,  entregar  un  libro  sobre  lógica  para  informática  a  los  estudiantes  es  darles  una 
herramienta  no  solamente  útil  sino  imprescindible  para  poder  aprender  realmente  a  pensar, 
construir  y  reflexionar  sobre  los  programas.  Veremos  que  mucho  más. 

Unos  25  años  después  de  las  brillantes  reflexiones  anteriores,  se  produjo  una  nueva 
disrupclón  tecnológica.  En  un  informe  para  el  Ministerio  de  Ciencia  y  Tecnología  del  año  2008  - 
publicado  como  el  Libro  Blanco  de  las  TICs  -  varios  académicos,  empresarios  y  profesionales 
señalamos  que  nos  enfrentábamos  a  una  oleada  de  novedosos  dispositivos,  pequeños, 
poderosos  y  portátiles  al  servicio  de  las  personas.  En  efecto,  la  vida  de  las  personas,  la 
industria,  los  servicios  se  vieron  invadidos  por  teléfonos,  tabletas,  sensores  y  otros  tipos  de 
diminutos  aparatos  que  han  ido  ganando  espacios  impensados  hasta  entonces.  Muy  poco 
después,  en  buena  parte  por  la  invasión  de  estos  dispositivos,  se  produjo  la  segunda  ola  de 
esta  nueva  revolución  tecnológica,  conocida  popularmente  como  Big  Data  e  Internet  de  las 
Cosas.  Datos  en  una  escala  nunca  antes  conocida  se  producen,  transmiten,  guardan  y  se 
procesan,  y  se  generan  nuevos  conocimientos... 

En  verdad,  ninguna  novedad  radical  se  había  producido  en  cuanto  a  las  capacidades  de 
generar,  transmitir  y  guardar  grandes  cantidades  de  datos;  lo  efectivamente  nuevo  es  la 
habilidad  de  transformar  datos  masivos  en  conocimientos,  ese  proceso  se  denomina  inferencia. 
En  torno  de  la  Inferencia  es  que  se  han  hecho  populares  algunos  nombres  como  Data  Science, 
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Big  Data  Analytics,  Deep  Learning,  Machine  Learning,  entre  otros,  que  posiblemente  sean  los 
nombres  de  las  disciplinas  y  las  profesiones  que  desempeñarán  muchos  de  los  actuales 
estudiantes  de  informática,  matemática,  economía,  sociología. 

Nuevamente  cabe  preguntarse  cuál  debe  ser  la  base  de  la  educación  de  estas  nuevas 
generaciones  de  estudiantes.  Por  cierto,  no  hay  forma  siquiera  de  comprender  de  qué  tratan 
estas  disciplinas  sin  conocimientos  profundos  de  lógica  y  matemática,  aplicadas  a  una  escala 
nunca  antes  conocida.  Tal  parece  que  estamos  más  cerca  de  presenciar  el  nacimiento  de  un 
cálculo  simbólico  alternativo  al  razonamiento  humano,  el  Sueño  de  Lelbniz. 

Lógica  para  Informática  resulta  entonces  no  solamente  un  texto  sobre  los  fundamentos 
básicos  de  las  profesiones  tradicionales  de  las  ciencias  de  la  computación,  también  es  parte 
esencial  de  la  formación  de  las  futuras  profesiones  que  asoman  en  su  horizonte. 

Recorrer  los  capítulos  es  una  encantadora  excursión  a  través  de  los  formalismos  de  la 
lógica,  sus  alcances  como  herramienta  de  razonamiento  y  sus  aplicaciones,  particularmente  a 
la  computación  y  la  programación.  Comenzando  con  razonamientos  simples  y  la  lógica 
proposiclonal,  el  primer  capítulo  trata  a  este  formalismo  de  manera  sencilla,  completa  y 
profunda,  incluyendo  sintaxis,  semántica,  cálculos  y  decidibilidad.  El  segundo  capítulo  presenta 
la  lógica  de  predicados  de  primer  orden  de  manera  comprensible  y  progresiva,  describe  los 
resultados  relevantes  en  relación  con  la  sensatez  y  completitud  de  estos  sistemas,  incluyendo 
el  famoso  Teorema  de  Gódel  y  la  artimética  de  Peano. 

Establecidas  las  bases  fundamentales,  en  el  tercer  capítulo  se  estudia  la  lógica  modal,  esto  es 
las  herramientas  para  razonar  acerca  de  lo  posible  y  lo  necesario.  Luego  de  una  detallada 
presentación  de  la  sintaxis  y  semántica,  sistemas  de  deducción  y  teoría  de  modelos,  se  presentan 
la  lógica  deóntica  y  los  sistemas  multiagente,  formalismos  relevantes  con  aplicaciones  no 
solamente  a  la  computación  sino  también  a  la  teoría  del  derecho  y  las  ciencias  sociales. 

Finalmente,  sobre  la  base  de  las  lógicas  clásicas  y  modal,  el  cuarto  y  último  capítulo  aborda 
de  manera  extensiva  la  verificación  axiomática  de  programas,  incluyendo  programas 
secuenclales  (determinísticos  y  no  determinísticos),  concurrentes  y  reactivos.  Rigurosa  y  a  la 
vez  amena,  la  presentación  va  construyendo  los  sistemas  de  verificación  sucesivamente, 
permitiendo  la  comprensión  de  cada  nivel  de  dificultad. 

El  legado  de  Dijkstra  y  otros  pioneros  de  la  mejor  tradición  de  las  ciencias  de  la  computación 
queda  entonces  a  buen  resguardo.  Lógica  para  Informática  se  suma  así  a  la  biblioteca  de  los 
buenos  textos  para  la  mejor  educación  de  los  actuales  futuros  profesionales  de  la  informática  y  de 
varias  otras  disciplinas  relevantes  para  la  construcción  de  una  sociedad  basada  en  el  conocimiento. 

Gabriel  Baum 
La  Plata,  octubre  de  2016 
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Introducción 


Contenido  del  libro 

El  contenido  de  Lógica  para  Informática  se  basa  en  la  asignatura  Lógica  e  Inteligencia 
Artificial  (capítulos  1,  2  y  3,  sobre  la  lógica  proposiclonal  o  de  enunciados,  la  lógica  de 
predicados  de  primer  orden  y  la  lógica  modal,  respectivamente)  y  en  parte  de  las  asignaturas 
Teoría  de  la  Computación  y  Verificación  de  Programas  y  Teoría  de  la  Computación  y 
Verificación  de  Programas  Avanzada  (capítulo  4,  sobre  la  verificación  axiomática  de 
programas),  asignaturas  que  los  autores  dictamos  desde  hace  tiempo  en  la  Licenciatura  en 
Informática  de  la  Universidad  Nacional  de  La  Plata.  Los  cuatro  tópicos  referidos  conforman  el 
objeto  de  estudio  de  este  libro:  la  lógica  (matemática),  considerando  tres  de  las  lógicas  más 
difundidas,  y  una  de  sus  aplicaciones  más  interesantes  en  el  contexto  de  la  informática. 

El  título  del  libro  puede  parecer  restrictivo,  pero  nuestra  intención  es  la  contraria.  El  libro  es 
efectivamente  para  Informática  porque  nuestra  idea  primaria  es  aportar  material  bibliográfico 
para  el  dictado  de  las  asignaturas  mencionadas  o  similares  en  el  marco  de  los  planes  de 
estudio  para  Informática.  Lo  es  también  porque  estamos  convencidos  de  la  importancia  del 
estudio  de  la  lógica  en  la  formación  de  los  profesionales  de  la  computación.  Sin  embargo  el 
libro  está  orientado  a  informáticos  y  no  informáticos,  nuestro  propósito  es  inclusivo,  por  el 
hecho  de  que  la  lógica  forma  parte  de  numerosos  planes  de  estudio  no  solo  de  informática  y 
matemática,  y  además  porque  la  problemática  del  desarrollo  de  programas  de  computadora 
correctos  es  un  tema  de  interés  cada  vez  más  amplio. 

Uno  de  los  autores  elaboró  previamente  dos  libros  dedicados  parcialmente  a  la  verificación 
de  programas,  como  soporte  a  las  dos  asignaturas  de  verificación  antes  mencionadas.  El 
contenido  del  cuarto  capítulo  de  Lógica  para  Informática  debe  tomarse  como  introductorio  a 
ellos  (salvo  en  lo  que  hace  a  la  lógica  temporal,  una  de  las  instanclaclones  de  la  lógica  modal, 
en  la  que  se  profundiza),  y  además  tiene  como  diferencial  que  se  centra  más  en  los  aspectos 
lógicos.  La  razón  principal  para  incluirlo  es  que  actúe  como  puente  entre  los  tipos  de  lógica 
estudiados  y  la  disciplina  de  la  construcción  de  programas  correctos. 

Cada  capítulo  fue  escrito  por  un  autor,  con  lo  que  es  posible  detectar  algunas  diferencias  de 
estilo  en  la  redacción  de  las  distintas  partes  del  libro  (también  en  algunos  casos  variedad  en  la 
simbología  y  formato),  pero  hemos  procurado  asegurar  una  estructura  básica  común  que 
creemos  haberla  logrado.  El  desarrollo  de  los  temas  combina  rigor  matemático  con 
informalidad,  con  el  propósito  de  introducir  los  conceptos  básicos  de  la  mejor  manera  posible 
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desde  el  punto  de  vista  didáctico.  Se  presentan  ejemplos  que  acompañan  las  definiciones  y  los 
teoremas.  Asumimos  que  el  lector  tiene  cierta  madurez  matemática,  y  no  excluyente  pero  sí 
deseable,  conocimientos  sobre  algorítmica  y  lenguajes  de  programación. 


Acerca  de  la  lógica  y  la  verificación  axiomática  de  programas 

Así  como  la  astronomía  estudia  los  cuerpos  celestes  del  universo  y  la  biología  la  vida,  el 
objeto  de  estudio  de  la  lógica  lo  constituyen  las  formas  de  razonamiento.  El  razonamiento  es  el 
proceso  por  el  cual  se  derivan  conclusiones  a  partir  de  premisas,  apoyándose  en  verdades 
supuestas.  El  razonamiento  también  sirve  para  justificar  ciertas  verdades,  es  decir  para 
determinar  si  una  verdad  es  consecuencia  (formal)  de  conocimientos  previamente  aceptados. 

Un  razonamiento  es  correcto  si  la  manera  en  que  está  construido  garantiza  la  conservación 
de  la  verdad:  si  las  premisas  son  verdaderas  entonces  la  conclusión  es  necesariamente 
verdadera.  Y  es  Incorrecto  si  su  construcción  es  defectuosa,  si  no  hay  garantía  acerca  del  valor 
de  verdad  de  la  conclusión.  La  lógica  investiga  los  principios  por  los  cuales  algunos 
razonamientos  son  correctos  y  otros  no.  Cuando  un  razonamiento  es  correcto,  lo  es  por  su 
estructura  lógica  y  no  por  el  contenido  específico  del  argumento  o  el  lenguaje  utilizado.  Por 
esta  razón  la  lógica  se  considera  una  ciencia  formal,  como  la  matemática,  en  vez  de  una 
ciencia  empírica.  A  un  razonamiento  correcto  se  lo  denomina  deducción. 

Por  ejemplo,  consideremos  el  siguiente  razonamiento:  (a)  Los  griegos  son  hombres,  (b)  Los 
hombres  son  mortales,  (c)  Por  lo  tanto  los  griegos  son  mortales.  Este  razonamiento  posee  la 
siguiente  estructura  lógica:  (a)  A  es  B.  (b)  B  es  C.  (c)  Por  lo  tanto  A  es  C.  La  estructura  refleja 
una  forma  de  razonamiento  correcto,  conocida  como  silogismo. 

En  un  principio  la  lógica  no  tuvo  el  sentido  de  estructura  formal  estricta  que  tiene  ahora.  El 
tratamiento  sofisticado  de  la  lógica  moderna  aparentemente  proviene  de  la  tradición  griega. 
Aristóteles  fue  el  primero  en  formalizar  los  razonamientos,  utilizando  letras  para  representar 
términos.  Sostuvo  que  la  verdad  se  manifiesta  en  el  juicio  verdadero  y  el  argumento  válido  en 
el  silogismo.  En  su  principal  obra  lógica  desarrolló  el  silogismo  (sistema  lógico  de  estructura 
rígida),  formalizó  el  cuadro  de  oposición  de  los  juicios,  categorlzó  las  formas  válidas  del 
silogismo,  y  reconoció  y  estudió  los  argumentos  Inductivos,  base  de  la  ciencia  experimental 
cuya  lógica  está  estrechamente  ligada  al  método  científico. 

Filósofos  racionalistas  como  R.  Descartes,  B.  Pascal  y  G.  Leibniz  aportaron  a  través  del 
desarrollo  de  la  matemática  temas  que  van  a  marcar  una  importante  evolución  en  la  lógica.  De 
especial  importancia  fueron  las  ideas  de  Descartes  y  Leibniz  sobre  una  ciencia  y  lenguaje 
universales,  especificados  con  precisión  matemática,  sobre  la  base  de  que  la  sintaxis  de  las 
palabras  debería  estar  en  correspondencia  con  las  entidades  designadas  como  individuos  o 
elementos  metafíslcos,  lo  que  haría  posible  un  cálculo  o  computación  mediante  algoritmos  en 
el  descubrimiento  de  la  verdad.  Aparecieron  así  los  primeros  intentos  y  realizaciones  de 
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máquinas  de  cálculo  (Pascal  y  Lelbniz),  y  aunque  su  desarrollo  no  fue  eficaz,  sin  embargo 
constituyeron  el  antecedente  inmediato  del  crecimiento  de  la  lógica  a  partir  del  siglo  XX. 

A  partir  de  la  segunda  mitad  del  siglo  XIX  la  lógica  se  rebeló.  G.  Boole  publicó  en  1847  El 
análisis  matemático  de  la  lógica  y  en  1854  Las  leyes  del  pensamiento.  Boole  construyó  un 
cálculo  en  el  que  los  valores  de  verdad  se  representan  mediante  el  0  (falsedad)  y  el  1  (verdad), 
a  los  que  se  les  aplican  operaciones  matemáticas  como  la  suma  y  la  multiplicación.  En  el 
mismo  año  1847,  A.  De  Morgan  publicó  Lógica  formal ,  donde  introdujo  las  famosas  leyes  que 
llevan  su  nombre  e  Intentó  generalizar  la  noción  de  silogismo.  Otro  aporte  Importante  lo  hizo  J. 
Venn,  quien  con  Lógica  simbólica  introdujo  los  famosos  diagramas  que  llevan  su  nombre. 

Pero  la  más  Importante  revolución  de  la  lógica  vino  de  la  mano  de  Frege,  frecuentemente 
considerado  el  lógico  más  importante  de  la  historia  junto  a  Aristóteles.  Con  su  trabajo  de  1879 
La  conceptografía ,  presentó  por  primera  vez  un  sistema  completo  de  lógica  de  predicados. 
También  desarrolló  la  ¡dea  de  un  lenguaje  formal  y  definió  la  noción  de  prueba.  Estas  ideas 
constituyeron  una  base  teórica  fundamental  para  el  desarrollo  de  las  computadoras  y  las 
ciencias  de  la  computación.  Los  contemporáneos  de  Frege  pasaron  por  alto  sus 
contribuciones,  probablemente  a  causa  de  la  complicada  notación  que  utilizó.  En  1893  y  1903, 
Frege  publicó  en  dos  volúmenes  Las  leyes  de  la  aritmética,  donde  intentó  deducir  toda  la 
matemática  a  partir  de  la  lógica,  lo  que  se  conoció  como  el  proyecto  logicista.  Pero  su  sistema 
contenía  una  contradicción:  la  paradoja  de  Russell. 

El  siglo  XX  sería  el  siglo  de  los  enormes  desarrollos  en  lógica.  La  lógica  pasó  a  estudiarse 
por  su  interés  intrínseco  y  no  solo  por  sus  virtudes  como  propedéutica.  En  1910  B.  Russell  y  A. 
Whltehead  publicaron  Principia  mathematica,  un  trabajo  monumental  en  el  que  lograron 
plasmar  gran  parte  de  la  matemática  a  partir  de  la  lógica,  evitando  caer  en  paradojas.  Llegarían 
luego  noticias  (solo  en  algún  aspecto)  devastadoras,  en  el  sentido  de  que  la  lógica  no  era  la 
panacea  universal  que  algunos  pretendían,  quizá  un  poco  ingenuamente.  Por  un  lado  K.  Gódel 
probaba  en  1931  la  imposibilidad  de  llevar  a  cabo  el  programa  de  Hilbert,  consistente  en 
formalizar  completamente  la  matemática  clásica  reemplazando  sus  conceptos  por  cadenas  de 
símbolos  y  el  razonamiento  por  una  mera  manipulación  de  dichas  cadenas  en  base  a  reglas 
mecánicas.  Y  por  el  otro,  A.  Church  y  A.  Turing  resolvían  en  1936  de  manera  negativa  el 
problema  de  decisión:  no  es  decidióle  determinar  si  una  fórmula  es  un  teorema  de  un  sistema 
axiomático  de  primer  orden. 

Además  de  la  lógica  preposicional  y  de  predicados  (lógica  clásica),  en  el  siglo  XX  se 
desarrollaron  otros  sistemas  lógicos,  entre  ellos  diversas  lógicas  modales.  Los  sistemas 
lógicos  clásicos  son  los  más  estudiados  y  utilizados,  se  caracterizan  por  incorporar  principios 
tradicionales  que  otras  lógicas  rechazan,  como  el  principio  del  tercero  excluido,  el  principio 
de  no  contradicción,  el  principio  de  explosión  y  la  monotonicldad  de  la  implicación.  Las 
lógicas  no  clásicas  rechazan  uno  o  más  principios  de  la  lógica  clásica.  Por  ejemplo,  la  lógica 
difusa  rechaza  el  principio  del  tercero  excluido  y  propone  un  número  infinito  de  valores  de 
verdad.  Las  lógicas  modales  son  lógicas  que  están  diseñadas  para  tratar  con  expresiones 
que  califican  la  verdad  de  los  juicios.  Así  por  ejemplo  la  expresión  “siempre”  califica  a  un 
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juicio  verdadero  como  verdadero  en  todo  momento  (no  es  lo  mismo  decir  que  está  lloviendo  a 
decir  que  siempre  está  lloviendo). 

Nuestro  libro  dedica  sus  primeros  tres  capítulos  al  estudio  de  lógicas  clásicas  y  no  clásicas: 
la  lógica  preposicional  y  de  predicados  de  la  primera  familia,  y  la  lógica  modal  de  la  segunda. 
En  el  cuarto  y  último  capítulo  se  estudia  el  uso  de  dichas  lógicas  (en  el  caso  de  la  lógica  modal, 
una  de  sus  instanclaclones  más  difundidas  que  es  la  lógica  temporal)  para  la  verificación  formal 
de  programas,  y  como  efecto  colateral  pero  no  menos  importante  para  el  desarrollo  sistemático 
de  software,  práctica  iniciada  a  fines  de  los  años  1960  por  los  impulsores  de  la  programación 
estructurada,  como  R.  Floyd,  C.  Hoare,  E.  Dijkstra  y  D.  Gries.  Se  trató  en  un  sentido  de  poner 
en  pie  de  igualdad  a  los  programas  de  computadora  con  sus  especificaciones,  descrlptas 
formalmente  mediante  lenguajes  matemáticos.  De  esta  manera  los  objetos  de  la  disciplina  de 
programación  en  sus  distintas  variantes  (síntesis  de  programas,  verificación  de  programas, 
análisis  de  programas,  etc.)  pasaron  a  ser  fórmulas  con  programas  y  especificaciones, 
manipulables  con  mecanismos  formales  como  los  sistemas  axiomáticos  que  vamos  a  describir 
en  este  libro. 

La  contribución  que  se  considera  fundacional  para  la  verificación  formal  de  programas  es  la 
de  Floyd  en  1967,  en  la  que  mediante  métodos  axiomáticos  se  trata  la  prueba  de  correctltud  de 
programas  empleando  aserciones  inductivas  sobre  diagramas  de  flujo.  El  primer  sistema  de 
prueba  sobre  programas  estructurados  lo  presentó  Hoare  en  1969;  este  trabajo  impulsó 
sobremanera  la  disciplina  completa  de  la  verificación  de  programas.  El  desarrollo  sistemático 
de  programas  secuenclales  tomando  como  guía  los  métodos  axiomáticos  se  inició  en  1976  con 
Dijkstra.  En  cuanto  a  la  lógica  temporal,  su  empleo  en  la  verificación  de  programas  partió  del 
trabajo  de  A.  Pnuell  en  1977.  En  este  contexto,  entre  1981  y  1982  J.  Queille,  J.  Slfakis,  E. 
Emerson  y  E.  Clarke  comenzaron  el  desarrollo  de  herramientas  para  chequear 
automáticamente  que  los  programas  satisfagan  especificaciones  escritas  con  aserciones  de  la 
lógica  temporal,  aproximación  que  se  conoce  como  model  checking.  Cabe  también  destacar  el 
trabajo  de  1988  de  K.  Chandy  y  J.  Mlsra,  que  sistematiza  la  síntesis  de  programas 
concurrentes  a  partir  de  especificaciones  expresadas  en  lógica  temporal;  se  lo  considera 
fundacional  como  lo  fue  el  de  Dijkstra  para  la  programación  secuencial. 


Cómo  leer  este  libro 

Cada  capítulo  tiene  al  final  ejercicios  para  resolver  y  referencias  bibliográficas.  Dejamos 
para  el  último  capítulo  mayorltariamente  ejercicios  de  demostraciones  formales  con  axiomas  y 
reglas,  haciendo  hincapié  en  los  primeros  en  los  fundamentos  de  la  lógica  clásica  y  modal.  La 
mayor  extensión  del  capítulo  4  con  respecto  al  resto  debe  entenderse  por  ser  en  realidad  dos 
capítulos  en  uno,  la  primera  parte  dedicada  a  la  lógica  clásica  y  la  segunda  a  la  lógica  modal. 

La  forma  natural  de  leer  este  libro  es  recorriendo  secuencialmente  sus  cuatro  capítulos, 
pero  no  es  la  única. 
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Una  manera  alternativa  de  lectura  que  sugerimos,  para  ir  de  lo  más  elemental  a  lo  más 
complejo,  es:  (a)  Los  capítulos  1  y  2  completos,  de  lógica  preposicional  y  de  lógica  de 
predicados  de  primer  orden  (lógica  clásica),  (b)  La  sección  de  conceptos  básicos  del  capítulo  3, 
de  lógica  modal,  (c)  El  capítulo  4,  de  lógica  de  programas  (así  lo  denominamos  para  enfatizar 
la  relación  estudiada  de  la  verificación  de  programas  con  los  sistemas  axiomáticos),  sin 
considerar  la  sección  final  de  notas,  (d)  Las  secciones  de  lógica  deóntlca  y  sistemas 
multiagente  del  capítulo  3.  Y  (e)  las  notas  finales  del  capítulo  4. 

También  se  puede  considerar  una  tercera  posibilidad  de  lectura  del  libro:  (a)  Los  capítulos  1 
y  2  completos,  (b)  La  primera  parte  del  capítulo  4,  dedicada  a  la  lógica  de  programas  de 
entrada/sallda,  porque  se  basa  en  la  lógica  de  predicados  de  primer  orden,  (c)  La  sección  de 
conceptos  básicos  del  capítulo  3.  (d)  La  segunda  parte  del  capítulo  4,  dedicada  a  la  lógica  de 
programas  reactivos,  porque  se  basa  en  la  lógica  temporal,  (e)  Las  secciones  de  lógica 
deóntlca  y  sistemas  multiagente  del  capítulo  3.  Y  (f)  las  notas  finales  del  capítulo  4. 

La  sección  de  sistemas  de  primer  orden  del  capítulo  2,  que  trata  sobre  las  extensiones  de  la 
lógica  de  primer  orden  con  axiomas  propios  del  dominio  considerado,  sirve  de  base  para  los 
métodos  de  verificación  del  capítulo  4,  específicamente  teniendo  en  cuenta  el  dominio  de  los 
números  enteros,  en  términos  de  los  cuales  se  desarrollan  los  métodos.  Las  secciones  de 
lógica  deóntlca  y  sistemas  multiagente  del  capítulo  3  ejemplifican  lo  tratado  en  la  sección  previa 
de  conceptos  básicos,  considerando  su  aplicación  en  la  ética  y  el  derecho  y  en  la  interacción 
entre  distintos  agentes  cognitivos,  respectivamente  (la  lógica  temporal  se  describe 
directamente  en  el  capítulo  4).  Algunas  notas  finales  del  capítulo  4  en  realidad  aplican  a  todos 
(por  ejemplo  las  referencias  a  la  completltud,  la  decidibilidad  y  la  composlclonalidad). 

Es  nuestro  deseo  que  este  libro  sea  una  guía  de  estudio  para  los  alumnos,  un  apoyo  para 
los  docentes  que  dictan  o  quieran  dictar  estos  contenidos  o  contenidos  afines,  un  aporte  para  la 
formación  básica  de  los  alumnos  de  la  UNLP  y  de  otras  universidades,  y  un  estímulo  para 
profundizar  en  la  investigación  de  los  tópicos  tratados. 

Claudia  Pons,  Ricardo  Rosenfeid,  Clara  Smith 
La  Plata,  octubre  de  2016 
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CAPÍTULO  1 
Lógica  proposicional 

Claudia  Pons 


Introducción 

La  lógica  proposicional,  también  conocida  como  lógica  de  enunciados,  es  un  sistema  formal 
cuyos  elementos  representan  proposiciones  o  enunciados.  Esta  lógica  no  tiene,  por  sí  misma, 
mucha  utilidad  para  la  representación  del  conocimiento.  Está  justificado  detenerse  en  ella 
porque  permite  introducir  de  una  manera  sencilla  algunos  conceptos  que,  explicados 
directamente  para  la  lógica  de  predicados  (a  ser  introducida  en  el  capítulo  siguiente),  son  más 
difíciles  de  captar. 

Nos  interesa  examinar  los  mecanismos  de  razonamiento  con  precisión  matemática.  Esta 
precisión  requiere  que  el  lenguaje  que  usemos  no  dé  lugar  a  confusiones,  lo  cual  conseguimos 
mediante  un  lenguaje  simbólico  donde  cada  símbolo  tenga  un  significado  bien  definido.  Dada  una 
frase  en  lenguaje  natural,  en  primer  lugar,  podemos  observar  si  se  trata  de  una  frase  simple  o  de 
una  frase  compuesta.  Una  frase  simple  consta  de  un  sujeto  y  un  predicado.  Por  ejemplo: 

•  Java  es  un  lenguaje  de  programación. 

•  Android  es  un  sistema  operativo  moderno. 

Una  frase  compuesta  se  forma  a  partir  de  frases  simples  por  medio  de  algún  término  de 
enlace  (o  conectiva).  Por  ejemplo: 

•  Java  es  un  lenguaje  de  programación  y  Java  es  compatible  con  Android. 

•  Si  Android  es  un  sistema  operativo  moderno  entonces  Android  soporta  Java. 

En  segundo  lugar,  vamos  a  suponer  que  todas  las  frases  simples  pueden  ser  verdaderas  o 
falsas.  Ahora  bien,  en  castellano  hay  frases  que  no  son  ni  verdaderas  ni  falsas  (exclamaciones, 
órdenes,  preguntas),  por  tanto  tenemos  que  usar  un  término  diferente.  Hablaremos  de 
enunciados  (o  proposiciones)  para  referirnos  a  frases  que  son  verdaderas  o  falsas.  Y 
distinguiremos  entre  enunciados  simples  (atómicos)  o  enunciados  compuestos. 
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Denotamos  los  enunciados  con  letras  mayúsculas  (A,  B,  C).  Para  construir  enunciados 
compuestos  Introducimos  símbolos  para  las  conectivas.  Las  conectivas  más  comunes  y  los 
símbolos  que  emplearemos  para  denotarlas  son  los  siguientes: 


•  —i  A 

•  A  a  B 

•  A  v  B 

•  A^  B 

•  A  <->  B 


Negación  de  A 
Conjunción  de  A  y  B 
Disyunción  de  A  o  B 
Si  A  entonces  B 
A  si  y  solo  si  B 


Así,  los  enunciados  compuestos  vistos  antes  pueden  escribirse  simbólicamente  de  la 
siguiente  forma: 


•  A  a  B 

.  D 


A  simboliza  “Java  es  un  lenguaje  de  programación”,  B  simboliza  “Java  es  compatible  con 
Androld”,  C  simboliza  “Androld  es  un  sistema  operativo  moderno”  y  D  simboliza  “Androld 
soporta  Java”. 

Nótese  que  cuando  un  enunciado  se  traduce  al  lenguaje  simbólico,  lo  que  queda  es  su 
“estructura  lógica”,  que  puede  ser  común  a  varios  enunciados  diferentes.  Esto  nos  permite  analizar 
las  formas  de  razonamiento,  ya  que  un  razonamiento  tiene  que  ver  con  la  estructura  lógica  de  los 
enunciados  de  la  argumentación  y  no  con  su  significado.  Observemos  los  siguientes  casos: 

Las  premisas  son  verdaderas  y  la  conclusión  también  es  verdadera 

Consideremos  el  siguiente  razonamiento: 

Si  Juan  es  mendocino  entonces  Juan  es  argentino. 

Si  Juan  es  argentino  entonces  Juan  es  sudamericano. 

Por  lo  tanto:  si  Juan  es  mendocino  entonces  Juan  es  sudamericano. 

Este  razonamiento  posee  la  siguiente  estructura  lógica: 

Si  A  entonces  B. 

Si  B  entonces  C. 

Por  lo  tanto:  si  A  entonces  C. 

Esta  estructura  refleja  una  forma  de  razonamiento  correcto,  conocida  como  silogismo. 
Consideremos  ahora  el  siguiente  razonamiento: 
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Si  Juan  es  mendocino  entonces  Juan  es  sudamericano. 

Si  Juan  es  argentino  entonces  Juan  es  sudamericano. 

Por  lo  tanto:  si  Juan  es  mendocino  entonces  Juan  es  argentino. 

Este  razonamiento  posee  la  siguiente  estructura  de  razonamiento: 

Si  A  entonces  B. 

Si  C  entonces  B. 

Por  lo  tanto:  si  A  entonces  C. 

Esta  estructura  evidencia  una  forma  incorrecta  de  razonar,  que  en  este  caso  permitió 
obtener  una  conclusión  verdadera  a  partir  de  premisas  verdaderas.  Sin  embargo  la  misma 
estructura  de  razonamiento  podría  instanciarse  con  otros  enunciados  que  dejarían  en  evidencia 
su  incorrección,  tal  como  veremos  a  continuación. 

Las  premisas  son  verdaderas  y  la  conclusión  es  falsa 

El  razonamiento  correcto  preserva  la  verdad,  no  es  posible  partir  de  premisas  verdaderas  y 
llegar  a  conclusiones  falsas  a  través  de  un  razonamiento  correcto.  Esta  situación  puede  ocurrir 
únicamente  si  aplicamos  un  razonamiento  incorrecto,  como  en  el  siguiente  ejemplo: 

Si  Juan  es  mendocino  entonces  Juan  es  argentino. 

Si  Juan  es  salteño  entonces  Juan  es  argentino. 

Por  lo  tanto:  si  Juan  es  mendocino  entonces  Juan  es  salteño. 

Esta  es  otra  instancia  de  la  estructura  de  razonamiento  incorrecto  vista  antes: 

Si  A  entonces  B. 

Si  C  entonces  B. 

Por  lo  tanto:  si  A  entonces  C. 

Con  este  ejemplo  la  falla  en  la  estructura  de  razonamiento  queda  en  evidencia.  ¿Qué  ocurre 
con  un  razonamiento  que  parte  de  premisas  falsas?  Veamos  los  casos: 

Algunas  premisas  son  falsas  y  la  conclusión  también  es  falsa 

Consideremos  las  mismas  estructuras  de  razonamiento  de  antes,  pero  ahora  utilizando 
premisas  falsas: 

Si  Juan  es  argentino  entonces  Juan  es  africano. 

Si  Juan  es  africano  entonces  Juan  es  asiático. 

Por  lo  tanto:  si  Juan  es  argentino  entonces  Juan  es  asiático. 
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Observamos  que  se  trata  de  un  razonamiento  correcto  (nuevamente  el  esquema  del 
silogismo),  que  nos  ha  permitido  deducir  información  falsa  a  partir  de  premisas  falsas. 
Utilicemos  ahora  el  razonamiento  incorrecto  anterior: 

SI  Juan  es  chino  entonces  Juan  es  sudamericano. 

SI  Juan  es  peruano  entonces  Juan  es  sudamericano. 

Por  lo  tanto:  si  Juan  es  chino  entonces  Juan  es  peruano. 

También  esta  forma  de  razonamiento  incorrecto  nos  ha  permitido  deducir  información  falsa 
a  partir  de  premisas  falsas. 

Algunas  premisas  son  falsas  y  la  conclusión  es  verdadera 

Es  posible  partir  de  premisas  falsas  y  arribar  a  conclusiones  verdaderas.  Podríamos  decir 
que  se  llega  a  la  verdad  “por  casualidad”.  Veamos  el  siguiente  ejemplo  que  nuevamente  aplica 
el  silogismo  como  esquema  de  razonamiento  correcto: 

SI  Juan  es  argentino  entonces  Juan  es  africano. 

SI  Juan  es  africano  entonces  Juan  es  sudamericano. 

Por  lo  tanto:  si  Juan  es  argentino  entonces  Juan  es  sudamericano. 

Una  situación  similar  ocurre  si  aplicamos  una  forma  incorrecta  de  razonar,  como  en  el 
siguiente  ejemplo: 

SI  Juan  es  mendoclno  entonces  Juan  es  africano. 

SI  Juan  es  argentino  entonces  Juan  es  africano. 

Por  lo  tanto:  si  Juan  es  mendoclno  entonces  Juan  es  argentino. 

En  resumen,  un  razonamiento  es  directamente  incorrecto  cuando  a  partir  de  premisas 
verdaderas  permite  arribar  a  una  conclusión  falsa,  o  bien  es  Incorrecto  porque  tiene  la 
estructura  de  un  razonamiento  incorrecto  (aunque  la  conclusión  sea  verdadera).  La  corrección 
de  la  forma  solamente  garantiza  que  si  las  premisas  son  verdaderas  entonces  lo  será  también 
la  conclusión.  Este  caso  es  de  gran  importancia  en  el  método  científico,  ya  que  permite 
razonar  correctamente,  pero  sobre  hipótesis  que  podrían  ser  falsas.  La  verdad  de  la  conclusión 
no  nos  asegura  nada  acerca  de  la  verdad  de  las  premisas. 


Sintaxis:  el  lenguaje  simbólico  de  la  lógica 

Para  estudiar  los  principios  del  razonamiento,  la  lógica  necesita  mediante  sistemas  formales 
en  primer  término  capturar  y  formalizar  las  estructuras  del  lenguaje  natural  en  un  lenguaje 
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simbólico,  para  luego  formalizar  los  mecanismos  de  razonamiento  que  se  aplican  sobre  dichas 
estructuras  lingüísticas. 

El  lenguaje  simbólico  consta  de  un  conjunto  de  símbolos  primitivos  (el  alfabeto  o 
vocabulario)  y  un  conjunto  de  reglas  de  formación  (la  gramática)  que  nos  dice  cómo  construir 
fórmulas  bien  formadas  a  partir  de  los  símbolos  primitivos. 

Alfabeto 

El  alfabeto  de  un  sistema  formal  es  el  conjunto  de  símbolos  que  pertenecen  al  lenguaje  del 
sistema.  SI  L  es  el  nombre  del  sistema  de  lógica  proposlclonal,  entonces  el  alfabeto  de  L 
consiste  en: 

•  Una  cantidad  finita  pero  arbitrariamente  grande  de  variables  proposlclonales  (o 
variables  de  enunciado).  En  general  se  las  toma  del  alfabeto  latino,  empezando  por  la 
letra  p,  luego  q,  r,  etc.,  y  utilizando  subíndices  cuando  es  necesario.  Las  variables  de 
enunciado  representan  enunciados  simples  como  "está  lloviendo"  o  "los  metales  se 
expanden  con  el  calor". 

•  Un  conjunto  de  operadores  lógicos  o  conectivas:  a,  v,  <-4. 

•  Dos  signos  de  puntuación:  el  paréntesis  Izquierdo  y  el  paréntesis  derecho.  Su  única  función 
es  desambiguar  ciertas  expresiones,  como  veremos  (tal  como  se  hace  con  las  operaciones 
aritméticas  por  ejemplo:  sin  una  convención  definida,  la  expresión  2  +  2-2  puede  significar 
tanto  (2  +  2)  +  2  como  2  +  (2  +  2)). 

Gramática 

Una  vez  definido  el  alfabeto,  el  siguiente  paso  es  determinar  qué  combinaciones  de 
símbolos  pertenecen  al  lenguaje  del  sistema.  Esto  se  logra  mediante  una  gramática  formal.  La 
misma  consiste  en  un  conjunto  de  reglas  que  definen  recursivamente  las  cadenas  de 
caracteres  que  pertenecen  al  lenguaje.  A  las  cadenas  de  caracteres  construidas  según  estas 
reglas  se  las  llama  fórmulas  bien  formadas,  y  también  se  las  conoce  como  formas  enunciativas. 
Las  reglas  del  sistema  L  son  (para  simplificar  la  notación  también  recurrimos  a  las  letras  A,  B, 
C,  ...,  para  denotar  las  formas  enunciativas,  siempre  que  quede  claro  por  contexto  su  uso): 

i.  Las  variables  de  enunciado  del  alfabeto  de  L  son  formas  enunciativas. 

ii.  SI  A  y  B  son  formas  enunciativas  de  L,  entonces  también  lo  son  (-.  A),  (A  a  B),  (A  V  B),(A 

B)  y  (A  ++  B). 

iii.  Solo  las  expresiones  que  pueden  ser  generadas  mediante  las  cláusulas  I  y  ii  en  un  número 
finito  de  pasos  son  formas  enunciativas  de  L. 

Según  estas  reglas,  las  siguientes  cadenas  de  caracteres  son  ejemplos  de  formas 
enunciativas: 
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•  p,  q,  r,  por  la  definición  (i). 

•  (-  p),  (q  a  r),  (p  -»  q),  por  la  definición  (ii)  y  la  línea  anterior. 

•  (((-  P)  v  (q  a  r))  — y  (p  — y  q)),  por  la  definición  (ii)  y  la  línea  anterior. 

Y  los  siguientes  son  ejemplos  de  fórmulas  que  no  son  formas  enunciativas: 


Fórmula 

Error 

Corrección 

(P) 

Sobran  paréntesis 

P 

-  (P) 

Mal  los  paréntesis 

h  P) 

p^q 

Faltan  paréntesis 

(p  — >  q) 

Dado  que  la  única  función  de  los  paréntesis  es  desamblguar  las  fórmulas,  en  general  se 
acostumbra  omitir  los  paréntesis  externos,  ya  que  no  cumplen  ninguna  función.  Así  por 
ejemplo,  fórmulas  como  p  a  q,  (-.  p)  q,  etc.,  se  consideran  bien  formadas.  Otra 
convención  habitual  para  abreviar  paréntesis  es  que  las  conjunciones  y  las  disyunciones 
tienen  “menor  jerarquía”  que  los  condicionales  y  ^condicionales.  Lo  mismo  sucede  con  la 
negación  respecto  de  la  conjunción  y  disyunción.  Esto  significa  que  dada  una  fórmula  sin 
paréntesis,  las  conjunciones  y  las  disyunciones  deben  resolverse  antes  que  los 
condicionales  y  los  ^condicionales,  y  las  negaciones  antes  que  las  conjunciones  y 
disyunciones.  Por  ejemplo: 


Fórmula  Lectura  correcta  Lectura  incorrecta 

p  a  q  — y  r  (p  a  q)  ->  r  p  a  (q  ->  r) 

p  <->  q  v  r  (-,  p)  (q  v  r)  ((-.  p)oq)vr 

Estas  convenciones  son  análogas  a  las  que  existen  en  el  álgebra  elemental,  ya  referida 
recién,  donde  por  ejemplo  la  multiplicación  y  la  división  deben  resolverse  antes  que  la  suma  y 
la  resta.  Sin  una  convención,  la  ecuación  2  +  2x2  podría  interpretarse  como  (2  +  2)  x  2  o 
como  2  +  (2  x  2).  En  el  primer  caso  el  resultado  es  8  y  en  el  segundo  caso  6.  Como  la 
multiplicación  debe  resolverse  antes  que  la  suma,  el  resultado  correcto  en  este  caso  es  6. 

Denotaremos  con  letras  minúsculas  p,  q,  r,  ...,  a  las  variables  que  designan  enunciados 
simples  arbitrarios.  Nótese  la  distinción  entre  los  usos  de  las  letras  p,  q,  r,  ...,  y  las  letras  A,  B,  C, 
...  Las  primeras  son  variables  que  pueden  ser  sustituidas  por  enunciados  simples  particulares. 
Las  últimas  son  meras  etiquetas  que  designan  enunciados  en  general.  Estos  componentes  nos 
permitirán  describir  las  propiedades  que  poseen  los  enunciados  y  las  conectivas. 
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Semántica:  interpretación  y  satisfacción 


Como  todo  enunciado  simple  es  verdadero  o  falso,  una  variable  de  enunciado  tomará  uno  u 
otro  valor  de  verdad:  V  (verdadero)  o  F  (falso).  La  verdad  o  falsedad  de  un  enunciado 
compuesto  depende  de  la  verdad  o  falsedad  de  los  enunciados  simples  que  lo  constituyen,  y 
de  la  forma  en  que  están  conectados. 

Primeramente  vamos  a  analizar  el  significado  de  cada  una  de  las  conectivas,  mediante 
tablas  de  verdad. 

Negación 

Sea  A  un  enunciado,  siendo  ¡rrelevante  su  significado.  Denotaremos  con  A  a  su  negación. 
SI  A  es  verdadero  entonces  A  es  falso,  y  recíprocamente  si  A  es  falso  entonces  A  es 
verdadero.  La  siguiente  es  la  tabla  de  verdad  que  especifica  el  significado  de  esta  conectiva: 


A 

-i  A 

V 

F 

F 

V 

La  conectiva  da  lugar  a  una  función  de  verdad  llamada  T  que  tiene  como  dominio  y 
codominio  al  conjunto  {V,  F}  y  se  define  así: 

.  r  (V)  =  f 
.  r(F)  =  v 

Conjunción 

Sean  A  y  B  dos  enunciados,  denotamos  con  A  a  B  a  la  conjunción  de  ámbos.  Su  tabla  de 
verdad  es  la  siguiente: 


A 

B 

Aa  B 

V 

V 

V 

V 

F 

F 

F 

V 

F 

F 

F 

F 

La  conectiva  a  define  una  función  de  verdad  fA  de  dos  argumentos: 

•  f  (V,  V)  =  V 

•  r  (V,  F)  =  F 

•  P  (F,  V)  =  F 

•  f(F,  F)  =  F 
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Disyunción 

Sean  A  y  B  dos  enunciados.  En  castellano  tenemos  dos  usos  distintos  para  la  disyunción 
“o”.  Elegimos  “A  o  B  o  ámbos”,  que  denotamos  con  AvB.Su  tabla  de  verdad  es: 


A 

B 

A  v  B 

V 

V 

V 

V 

F 

V 

F 

V 

V 

F 

F 

F 

La  conectiva  v  define  una  función  de  verdad  Tde  dos  argumentos,  como  la  anterior: 

•  r  (V,  V)  =  V 

•  r  (V,  F)  =  V 

•  r(F,  v)  =  v 

•  HF,  F)  =  F 

Nótese  que  el  otro  uso  de  la  disyunción,  es  decir  “A  o  B  pero  no  ámbos”,  se  puede 
simbolizar  mediante  (AvB)ah(Aa  B). 

Condicional 

Sean  A  y  B  dos  enunciados.  Utilizaremos  A  ^  B  para  representar  el  enunciado  “A  implica  a 
B”  o  “si  A  entonces  B”.  En  este  caso  el  significado  intuitivo  de  esta  frase  genera  algunos 
conflictos  con  su  significado  formal.  La  tabla  de  verdad  de  esta  conectiva  es  la  siguiente: 


A 

B 

A^  B 

V 

V 

V 

V 

F 

F 

F 

V 

V 

F 

F 

V 

De  la  misma  forma  que  las  anteriores,  la  conectiva  define  una  función  de  verdad  de  dos 
argumentos: 

•  r(V,  V)  =  V 

•  r(V,  F)  =  F 

•  r(F,  v)  =  v 

.  r(F,  F)  =  V 
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La  dificultad  radica  en  el  valor  de  verdad  V  asignado  a  (A  ->■  B)  en  los  casos  en  que  A  es 
falso.  Intuitivamente  podemos  considerar  a  la  implicación  como  un  contrato:  cuando  su 
antecedente  no  se  cumple  su  consecuente  puede  tanto  cumplirse  como  no  cumplirse,  y  en 
ambos  casos  el  contrato  no  se  ha  quebrado  y  podemos  considerarlo  verdadero. 

Por  ejemplo,  consideremos  el  enunciado  “SI  Alexia  limpia  su  cuarto  entonces  su  madre  le  da 
dinero”.  Se  simboliza  con  (A  B),  siendo  A  el  enunciado  “Alexia  limpia  su  cuarto”  y  B  el 
enunciado  “su  madre  le  da  dinero”.  Veámoslo  como  un  contrato  entre  Alexia  y  su  madre: 

•  ¿Qué  ocurre  si  Alexia  limpia  su  cuarto?  Su  madre  debe  darle  dinero  pues  ése  es  el 
contrato  (se  corresponde  con  el  caso  f*  (V,  V)  =  V).  En  caso  contrario  el  contrato  se  habría 
quebrado  pues  la  madre  de  Alexia  habría  Incumplido  su  promesa  (se  corresponde  con  el 
caso  r(V,  F)  =  F). 

•  ¿Y  qué  ocurre  si  Alexia  no  limpia  su  cuarto?  Su  madre  podría  no  darle  el  dinero  (se 
corresponde  con  el  caso  f  *  (F,  F)  =  V).  El  contrato  entre  ambas  se  cumple.  Finalmente, 
aunque  Alexia  no  limpie  su  cuarto  su  madre  podría  darle  Igualmente  el  dinero  (se 
corresponde  con  el  caso  f*  (F,  V)  =  V).  El  contrato  no  se  ha  quebrado,  pues  no  prohíbe  la 
entrega  del  dinero.  Nótese  que  la  situación  sería  diferente  si  el  contrato  expresara:  “Su 
madre  le  da  dinero  si  y  solo  si  Alexia  limpia  su  cuarto”. 

Otro  ejemplo  interesante  es  el  siguiente  enunciado  matemático:  si  n  >  2  entonces  n2  >  4,  el 
cual  es  verdadero  independientemente  del  valor  que  tome  n.  El  punto  a  recordar  es  que  la  única 
circunstancia  en  la  que  el  enunciado  A  -»  B  es  falso  se  da  cuando  A  es  verdadero  y  B  es  falso. 

Bicondicional 

Sean  A  y  B  dos  enunciados.  Denotamos  el  enunciado  “A  si  y  solo  si  B”  o  “A  equivale  a  B” 
con  A  <->  B.  Este  enunciado  será  verdadero  cuando  A  y  B  tengan  el  mismo  valor  de  verdad 
(ámbos  verdaderos  o  ámbos  falsos),  y  solo  en  dicho  caso.  La  tabla  de  verdad  es  la  siguiente: 


A 

B 

A  B 

V 

V 

V 

V 

F 

F 

F 

V 

F 

F 

F 

V 

Como  antes,  la  conectiva  <-►  define  una  función  de  verdad  de  dos  argumentos: 

•  r  (V,  V)  =  V 

•  r  (V,  F)  =  F 

•  r(F,  V)  =  F 

•  r(F,  F)  =  V 
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En  lo  que  sigue  veremos  que  el  valor  de  verdad  de  un  enunciado  compuesto  depende  de 
los  valores  de  verdad  de  los  enunciados  simples  que  lo  forman,  aplicando  las  funciones  de 
verdad  de  las  conectivas. 

Tablas  de  verdad  para  enunciados  compuestos 

La  tabla  de  verdad  de  una  forma  enunciativa  cualquiera  establece,  para  cada  asignación  de 
valores  de  verdad  sobre  las  variables  de  enunciado  involucradas,  el  valor  que  toma,  y  se 
obtiene  usando  las  tablas  de  verdad  de  las  conectivas  analizadas  previamente.  Dicha  tabla  es 
una  representación  gráfica  de  una  función  de  verdad,  cuyo  número  de  argumentos  es  Igual  al 
número  de  variables  distintas  que  intervienen.  Es  decir,  a  una  forma  enunciativa  con  n 
variables  diferentes,  siendo  n  >  0,  le  corresponde  una  función  de  verdad  de  n  argumentos,  y  la 
tabla  de  verdad  tendrá  2n  filas,  una  para  cada  una  de  las  posibles  combinaciones  de  valores  de 
verdad.  Por  ejemplo: 

Para  el  caso  de  (-.  p)  v  q  se  tiene: 


p 

q 

(-  P) 

(-,p)  v  q 

V 

V 

F 

V 

V 

F 

F 

F 

F 

V 

V 

V 

F 

F 

V 

V 

Y  en  el  caso  de  p  — >  (q  a  r)  tenemos: 


P 

q 

r 

(q  A  r) 

P  -» (q  a  r) 

V 

V 

V 

V 

V 

V 

V 

F 

F 

F 

V 

F 

V 

F 

F 

V 

F 

F 

F 

F 

F 

V 

V 

V 

V 

F 

V 

F 

F 

V 

F 

F 

V 

F 

V 

F 

F 

F 

F 

V 

Notemos  que  existen  2k  funciones  de  verdad  distintas  de  n  argumentos,  con  k  =  2n,  que 
corresponden  a  todas  las  formas  posibles  de  disponer  los  valores  V  y  F  en  la  última  columna 
de  una  tabla  de  verdad  de  k  filas.  Claramente  con  n  variables  de  enunciado  se  pueden 
construir  infinitas  formas  enunciativas  asociadas  a  una  misma  función  de  verdad.  Para  analizar 
esto  más  a  fondo  necesitamos  algunas  definiciones. 
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Definición.  Interpretación  y  satisfacción.  En  términos  generales,  una  interpretación  es 
una  fundón  que  relaciona  los  elementos  de  los  dominios  sintáctico  y  semántico  de  la  lógica 
considerada.  En  el  caso  particular  de  la  lógica  proposlclonal,  una  interpretación  I  consiste  en 
una  función  de  valuación  V|  que  asigna  a  cada  variable  de  enunciado  el  valor  de  verdad  V  o  F. 
Siendo  P  =  {p-i,  p2,  ...}  el  conjunto  de  variables  de  enunciado,  se  escribe: 

v, :  P  ->  {V,  F} 

Para  extender  el  dominio  de  la  función  de  valuación  de  las  variables  de  enunciado  a  las 
formas  enunciativas  en  general,  basta  con  definir  una  regla  semántica  para  cada  una  de  las 
reglas  sintácticas  de  la  gramática: 

•  |=i  p  si  y  solo  si  V|  (p)  =  V 

•  |=i  -■  A  si  y  solo  si  no  es  el  caso  que  |=i  A 

•  |=i  A  v  B  si  y  solo  si  o  bien  |=i  A  o  bien  |=i  B  o  ámbos 

•  |=i  AaB  si  y  solo  si  |=i  A  y  |=i  B 

•  |=i  A— >  B  si  y  solo  si  no  es  el  caso  que  |=i  A  y  no  |=i  B 

•  |=i  A  B  si  y  solo  si  |=i  A  — *  B  y  |=¡  B  — ►  A 

El  símbolo  |=  se  utiliza  para  las  definiciones  semánticas.  Con  |=i  se  hace  referencia  a  la 
interpretación  I.  Se  dice  que  una  interpretación  I  satisface  una  forma  enunciativa  A  si  y  solo  si 
se  cumple  V|  (A)  =  V.  También  se  puede  decir  que  A  se  satisface  con  I,  o  en  lenguaje  más 
coloquial  que  A  es  verdadera  con  dicha  interpretación.  Como  vimos,  simbólicamente  se 
expresa  así:  |=i  A. 

Definición.  Tautología  y  contradicción.  Una  forma  enunciativa  es  una  tautología  si 
siempre  toma  el  valor  de  verdad  V,  considerando  todas  y  cada  una  de  las  posibles 
asignaciones  de  valores  de  verdad  a  las  variables  de  enunciado  que  contiene.  SI  en  cambio 
siempre  toma  el  valor  de  verdad  F,  la  forma  enunciativa  se  conoce  como  contradicción.  El 
método  para  determinar  si  una  forma  enunciativa  es  una  tautología  o  una  contradicción 
consiste  en  construir  su  tabla  de  verdad.  Por  ejemplo: 

•  p  v  (-.  p)  es  una  tautología 

•  p  a  (-i  p)  es  una  contradicción 

•  p  v  q  no  es  ni  una  tautología  ni  una  contradicción 

Claramente,  toda  tautología  con  n  variables  tiene  asociada  una  misma  función  de  verdad  de 
n  argumentos,  es  decir  la  misma  tabla  de  verdad  de  2n  filas  donde  la  última  columna  siempre 
contiene  el  valor  V.  Una  situación  similar  ocurre  para  las  contradicciones  con  el  valor  F. 
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Definición.  Modelo.  Una  interpretación  I  es  un  modelo  de  una  forma  enunciativa  A  si  A  se 
satisface  con  I,  es  decir  si  |=i  A.  Una  interpretación  es  un  modelo  de  un  conjunto  de  formas 
enunciativas  si  es  un  modelo  de  cada  una  de  ellas. 


Implicación  lógica  y  equivalencia  lógica 

Sean  A  y  B  dos  enunciados.  Diremos  que  “A  implica  lógicamente  a  B”  o  que  “B  es 
consecuencia  lógica  de  A”  (lo  denotaremos  con  A  =>  B)  si  la  forma  enunciativa  A  — »  B  es  una 
tautología.  Y  diremos  que  “A  es  lógicamente  equivalente  a  B”  (lo  denotaremos  con  A  <=>  B)  si  la 
forma  enunciativa  A  <->  B  es  una  tautología.  Por  ejemplo: 

•  p  a  q  implica  lógicamente  a  p 

•  (p  a  q)  es  lógicamente  equivalente  a  (-.  p)  v  (-1  q) 

•  -1  (p  v  q)  es  lógicamente  equivalente  a  (-.  p)  a  (-.  q) 

Demostramos  a  continuación  la  última  de  las  equivalencias  lógicas  de  arriba.  Para  ello 
vamos  a  construir  la  tabla  de  verdad  correspondiente  a  la  siguiente  forma  enunciativa: 

— 1  (p  v  q)  •<->  (-1  p)  a  (— 1  q) 


— 1 

(P 

V 

q) 

<-» 

P) 

A 

(-■ 

q) 

F 

V 

V 

V 

V 

F 

V 

F 

F 

V 

F 

V 

V 

F 

V 

F 

V 

F 

V 

F 

F 

F 

V 

V 

V 

V 

F 

F 

F 

V 

V 

F 

F 

F 

V 

V 

F 

V 

V 

D 

Es  decir,  comenzamos  escribiendo  las  22  filas  con  las  combinaciones  para  los  valores  de 
verdad  V  y  F  de  las  dos  variables  de  enunciado  p  y  q.  Y  luego  vamos  resolviendo  los  valores 
de  verdad  de  cada  parte  de  la  forma  enunciativa,  colocando  el  resultado  parcial  bajo  la 
conectiva  correspondiente. 

Notar  que  si  A  y  B  son  dos  formas  enunciativas  lógicamente  equivalentes  con  las  mismas 
variables  de  enunciado,  entonces  tienen  la  misma  función  de  verdad. 

Las  siguientes  son  equivalencias  lógicas  muy  conocidas,  por  resultar  útiles  a  la  hora  de 
manipular  formas  enunciativas: 

•  Ley  de  Doble  Negación  (-,  p)  <=>  p 

•  Ley  Conmutativa  de  la  Conjunción  p  a  q  <=>  q  a  p 
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p  v  q  <=>  q  v  p 

(p  a  q)  a  r  <=>  p  a  (q  a  r) 
(p  v  q)  v  r  <=>  p  v  (q  v  r) 


•  Ley  Conmutativa  de  la  Disyunción 

•  Ley  Asociativa  de  la  Conjunción 

•  Ley  Asociativa  de  la  Disyunción 

•  Leyes  de  De  Morgan  (p  v  q)  <=>(-.  p)  a  (-.  q) 

-(PAq)o(-i  p)  v  (  i  q) 

•  Leyes  de  Distribución  p  a  (q  v  r)  <=>  (p  a  q)  v  (p  a  r) 

p  v  (q  a  r)  <=>  (p  v  q)  a  (p  v  r) 

•  Leyes  de  Absorción  p  a  p  <=>  p 

pvpop 

Formas  normales 

Hemos  visto  que  a  partir  de  toda  forma  enunciativa  puede  construirse  una  tabla  de  verdad. 
Vamos  a  formular  ahora  un  resultado  en  un  sentido  recíproco: 

Proposición.  Toda  fundón  de  verdad  es  la  función  de  verdad  determinada  por  una  forma 
enunciativa  restringida.  Llamamos  forma  enunciativa  restringida  a  una  forma  enunciativa  en  la 
que  solamente  figuran  las  conectivas  a,  v. 

Corolario.  Toda  forma  enunciativa,  que  no  es  una  contradicción,  es  lógicamente 
equivalente  a  una  forma  enunciativa  restringida  de  la  forma: 

V  ¡  =  i  ...m  A  j  =  i  ...n  Q  ¡j,  es  decir:  (Q  1 1  a  ...  a  Q  i  n)  v  ...  v  (Q  mi,  A..,AQmn) 

donde  cada  Q  i  j  es  una  variable  de  enunciado  o  la  negación  de  una  variable  de  enunciado. 
Esta  forma  se  denomina  forma  normal  disyuntiva. 

Idea  de  demostración  del  corolario.  Dos  formas  enunciativas  son  lógicamente 
equivalentes  si  y  solo  si  corresponden  a  la  misma  fundón  de  verdad.  Dada  una  forma 
enunciativa  A,  obtenemos  su  tabla  de  verdad  y  la  función  de  verdad  que  ésta  define.  Aplicando 
el  método  en  que  se  basa  la  demostración  de  la  proposición  anterior  se  puede  obtener  una 
forma  enunciativa  en  la  forma  deseada,  correspondiente  a  dicha  función  de  verdad. 

Otro  corolario.  Toda  forma  enunciativa,  que  no  es  una  tautología,  es  lógicamente 
equivalente  a  una  forma  enunciativa  restringida  de  la  forma: 

A¡  =  i...m  Vj  =  i...n  Qij,  esdecir:  (Q  i !  v  ...  v  Q  1n)  a  ...  a  (Q  m1,  v  ...  v  Q  mn) 
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donde  cada  Q  i  j  es  una  variable  de  enunciado  o  la  negación  de  una  variable  de  enunciado. 
Esta  forma  se  denomina  forma  normal  conjuntiva.  La  demostración  de  este  corolario  se  basa 
en  el  anterior,  las  leyes  de  De  Morgan  y  el  hecho  de  que  la  negación  de  una  forma  enunciativa 
que  no  es  una  tautología  no  es  una  contradicción. 


Conjuntos  adecuados  de  conectivas 

Un  conjunto  adecuado  de  conectivas  es  un  conjunto  tal  que  toda  función  de  verdad  puede 
representarse  por  medio  de  una  forma  enunciativa  en  la  que  solo  aparezcan  conectivas  de 
dicho  conjunto. 

Proposición.  Los  pares  a},  v}  y  -^}  son  conjuntos  adecuados  de  conectivas. 

Los  anteriores  son  los  únicos  conjuntos  adecuados  de  conectivas  con  dos  elementos. 
¿Existen  conjuntos  unitarios  adecuados  de  conectivas,  es  decir  con  una  sola  conectiva?  Las 
cinco  conectivas  v,  a,  que  hemos  estudiado  no  constituyen  por  sí  solas  un  conjunto 

adecuado.  Pero  no  son  las  únicas  conectivas  posibles.  De  hecho  cada  tabla  de  verdad  define 
una  nueva  conectiva  pero  con  significado  intuitivo  no  muy  claro.  Se  debe  a  H.  Sheffer  la 
introducción  de  dos  nuevas  conectivas: 

•  Ñor.  Se  denota  con  J,  y  no  es  más  que  la  negación  de  la  disyunción,  es  decir  (p  v  q).  Su 
tabla  de  verdad  es  por  lo  tanto  la  siguiente: 


p 

q 

p  i  q 

V 

V 

F 

V 

F 

F 

F 

V 

F 

F 

F 

V 

•  Nand.  Se  denota  con  |  y  no  es  más  que  la  negación  de  la  conjunción,  es  decir  (p  a  q).  Su 
tabla  de  verdad  es  por  lo  tanto: 


P 

q 

p  1  q 

V 

V 

F 

V 

F 

V 

F 

V 

V 

F 

F 

V 

29 


El  interés  por  estas  conectivas  se  aclara  en  la  siguiente  proposición.  También  cabe 
remarcar  que  se  aplican  en  el  diseño  de  las  computadoras. 

Proposición.  Los  conjuntos  unitarios  {j.}  y  {|}  son  conjuntos  adecuados  de  conectivas:  toda 
función  de  verdad  puede  expresarse  mediante  una  forma  enunciativa  en  la  que  solo  aparece  la 
conectiva  J.,  o  solo  aparece  la  conectiva  |. 


Argumentaciones 

Retomamos  lo  que  vimos  anteriormente,  en  cuanto  a  la  importancia  de  la  “forma”  del 
razonamiento  por  encima  del  significado  de  los  enunciados  que  intervienen,  partiendo  de  un 
par  de  definiciones: 

Definición.  Forma  argumentativa  (o  argumentación).  Una  forma  argumentativa  es  una 
sucesión  finita  de  formas  enunciativas,  de  las  cuales  la  última  se  considera  como  la  conclusión 
de  las  anteriores,  conocidas  como  premisas.  La  notación  es: 

Ai,  A2,  ...,  An  .'.  A 

Para  que  una  forma  argumentativa  sea  válida  debe  representar  un  razonamiento  correcto. 
Es  decir,  bajo  cualquier  asignación  de  valores  de  verdad  a  las  variables  de  enunciado,  si  las 
premisas  Ai,  A2,  ...,  An,  toman  el  valor  V,  la  conclusión  A  también  debe  tomar  el  valor  V. 
Precisando: 

Definición.  Forma  argumentativa  válida.  Una  forma  argumentativa  Ai,  A2,  ...,  An  .  .  A  es 

inválida  si  es  posible  asignar  valores  de  verdad  a  las  variables  de  enunciado  que  aparecen  en 
ella,  de  tal  manera  que  Ai,  A2,...,  An,  tomen  el  valor  V  y  A  tome  el  valor  F.  De  lo  contrario  la 
forma  argumentativa  es  válida. 

Por  ejemplo,  analicemos  la  validez  de  la  siguiente  argumentación: 

SI  Alexia  toma  el  autobús,  entonces  Alexia  pierde  su  entrevista  si  el  autobús 
llega  tarde. 

Alexia  no  vuelve  a  su  casa,  si  Alexia  pierde  su  entrevista  y  Alexia  se  siente 
deprimida. 

Si  Alexia  no  consigue  el  trabajo,  entonces  Alexia  se  siente  deprimida  y  Alexia  no 
vuelve  a  su  casa. 

Por  lo  tanto,  si  Alexia  toma  el  autobús  entonces  Alexia  no  consigue  el  trabajo  si  el 
autobús  llega  tarde. 
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En  primer  lugar  debemos  construir  la  forma  argumentativa  correspondiente,  traduciendo  del 
lenguaje  natural  al  lenguaje  simbólico.  Consideraremos  las  siguientes  variables  de  enunciado: 

p:  Alexia  toma  el  autobús 
q:  Alexia  pierde  su  entrevista 
r:  el  autobús  llega  tarde 
s:  Alexia  vuelve  a  su  casa 
t:  Alexia  se  siente  deprimida 
u:  Alexia  consigue  el  trabajo 

Construyamos  las  premisas  del  razonamiento  anterior: 

Ai:  p^  (r->q) 

A2:  (q  a  t)  — >  (—1  s) 

A3:  (—1  u)  — >  (t  A  (—1  s)) 

La  conclusión  es: 

A:  p  — >  (r  — >  (— .  u)) 

Tenemos  entonces  la  forma  argumentativa  A1(  A2,  A3  A.  Observemos  que  es  posible 
asignar  valores  de  verdad  a  las  variables  de  enunciado  de  modo  tal  que  las  premisas  tomen  el 
valor  V  y  la  conclusión  el  valor  F: 


Ai 

a2 

a3 

A 

p^  (r  — >  q) 

(q  a  t)  — >  (—1  s) 

(-.  U)  >  (t  A  (-,  s)) 

P ->  (r ->  (-■  u)) 

VV  VV  V 

V  F  F  V  FV 

FV  V  FF  FV 

V  F  V  F  FV 

Así,  la  forma  argumentativa  es  inválida.  Si  en  cambio  modificamos  la  conclusión  de  la 
siguiente  manera  obtenemos  una  forma  argumentativa  válida: 

Por  lo  tanto,  Alexia  consigue  el  trabajo  si  Alexia  pierde  su  entrevista  y  Alexia  vuelve 
a  su  casa. 

Nos  queda: 

A:  (q  a  s)  — »  u 
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En  este  caso  es  imposible  asignar  valores  de  verdad  a  las  variables  de  enunciado  tal  que 
las  premisas  sean  verdaderas  y  la  conclusión  falsa.  Independientemente  de  otras  variables  de 
enunciado,  sería  el  caso  de  asignar  el  valor  F  a  la  variable  u  (y  en  consecuencia  el  valor  V  a  la 
variable  s),  para  que  A  sea  falsa,  pero  como  vemos  en  la  tabla  de  abajo,  para  que  A3  sea 
verdadera  con  la  variable  u  falsa  la  variable  s  debe  ser  falsa  (absurdo): 


A1 

a2 

a3 

A 

P  (r  q) 

(q  a  t)  — >  (—1  s) 

(-n  U)  >  (t  A  (-1  S)) 

(q  a  s)  — >  u 

V  F  V  V  V  V  F 

VVV  F  F 

La  variable  s  debe  tomar  el  valor  F  y 
al  mismo  tiempo  el  valor  V  (absurdo). 


Es  Interesante  remarcar  cómo  la  traducción  del  lenguaje  natural  al  lenguaje  simbólico  nos  ha 
permitido  desligarnos  del  significado  de  las  palabras.  Intuitivamente  hubiésemos  pensado  que  la 
primera  conclusión  (si  Alexia  toma  el  autobús,  entonces  Alexia  no  consigue  el  trabajo  si  el  autobús 
llega  tarde)  era  válida,  mientras  que  la  segunda  (Alexia  consigue  el  trabajo  si  Alexia  pierde  su 
entrevista  y  Alexia  vuelve  a  su  casa)  no  lo  era,  debido  a  nuestra  idea  acerca  de  las  implicancias  de 
llegar  tarde  o  perder  una  entrevista  de  trabajo.  La  traducción  al  lenguaje  simbólico  nos  permitió 
analizar  matemáticamente  la  validez  del  razonamiento,  basándonos  en  su  estructura  y  no  en  su 
significado.  Enseguida  veremos  aproximaciones  para  mecanizar  los  razonamientos. 


Proposición.  La  forma  argumentativa  Ai,  A2,  ...,  An  .'.  A  es  válida  si  y  solo  si  la  forma 
enunciativa  (A,  a  A2  a  ...  a  An)  -»  A  es  una  tautología  (es  decir,  si  y  solo  si  la  conjunción  de  las 
premisas  Implican  lógicamente  a  la  conclusión). 

Para  referirnos  a  formas  argumentativas  válidas  utilizamos  la  siguiente  notación: 


<P  1=  A 


que  se  lee:  “cp  implica  lógicamente  a  A”  o  “A  se  deduce  de  cp”,  siendo  cp  un  conjunto  de  premisas. 


Mecanismos  formales  de  razonamiento 

Un  mecanismo  formal  de  razonamiento  (o  de  inferencia,  deducción,  demostración)  consiste 
en  una  colección  de  reglas  que  pueden  ser  aplicadas  sobre  cierta  información  inicial  para 
derivar  información  adicional,  en  una  forma  puramente  sintáctica.  A  continuación  se  presentan 
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dos  mecanismos  formales  estándar  de  razonamiento  para  la  lógica  proposlclonal.  En  primer 
lugar  describimos  un  sistema  axiomático  (o  deductivo)  llamado  L,  y  luego  un  sistema  sin 
axiomas,  conocido  como  deducción  natural. 


Sistema  axiomático  L 

Nuestra  primera  aproximación  de  mecanismo  formal  de  razonamiento  es  un  sistema 
axiomático  denominado  L  (ya  antes  definimos  el  alfabeto  y  la  gramática).  Un  sistema 
axiomático  está  compuesto  por  un  conjunto  de  axiomas  (en  realidad  esquemas  de  axiomas)  y 
un  conjunto  de  reglas  de  inferencia.  Los  axiomas  son  fórmulas  bien  formadas.  Las  reglas 
determinan  qué  fórmulas  pueden  inferirse  a  partir  de  qué  fórmulas.  Por  ejemplo,  una  regla  de 
inferencia  clásica  es  el  modus  ponens,  según  la  cual  a  partir  de  las  fórmulas  A  y  A  B  se 
puede  inferir  B. 

Axiomas  de  L 

Los  axiomas  de  un  sistema  axiomático  son  un  conjunto  de  fórmulas  que  se  toman  como 
punto  de  partida  para  las  demostraciones.  Un  conjunto  de  axiomas  muy  conocido  para  la  lógica 
proposicional  es  el  que  definió  J.  Lukasiewicz: 

•  Li :  A  ->  (B  ->  A) 

•  L2 :  (A  ->  (B  ->  C))  ->  ((A  ->  B)  ->  (A  ->  C)) 

.  L3:  ((-,  A)  ->  ( — iB))  ->  (B  ->  A) 

Reglas  de  inferencia  de  L 

Una  regla  de  inferencia  es  una  función  que  asigna  una  fórmula  (conclusión)  a  un  conjunto 
de  fórmulas  (premisas).  Naturalmente  la  idea  es  que  las  reglas  de  inferencia  transmitan  la 
verdad  de  las  premisas  a  la  conclusión  (también  conocida  como  teorema),  es  decir  que  sea 
imposible  alcanzar  una  conclusión  falsa  a  partir  de  premisas  verdaderas. 

El  sistema  L  tiene  una  única  regla  de  inferencia,  el  modus  ponens,  ya  referido  previamente: 

•  MP:  a  partir  de  A  y  de  A  -»  B  se  infiere  B 

Tener  en  cuenta  que  A,  B  y  C,  mencionadas  en  los  axiomas  y  la  regla  de  inferencia  de  L, 
pueden  ser  sustituidas  por  cualquier  fórmula  bien  formada.  El  modus  ponens  es  una  regla  muy 
razonable  desde  el  punto  de  vista  intuitivo,  corresponde  a  una  de  las  maneras  estándar  de 
proceder  en  una  argumentación  en  el  lenguaje  cotidiano.  Por  su  parte  los  axiomas  de  L  no 
resultan  tan  intuitivos,  y  no  son  los  únicos  posibles.  Vistos  como  formas  enunciativas  son 
tautologías:  obviamente  es  indispensable  comenzar  a  razonar  desde  elementos  verdaderos. 


33 


Deducción  natural 


Un  sistema  de  lógica  preposicional  también  puede  definirse  a  partir  de  un  conjunto  vacío 
de  axiomas.  Se  trata  de  la  deducción  natural.  Sus  reglas  de  inferencia  intentan  capturar  el 
modo  en  que  naturalmente  razonamos  acerca  de  las  conectivas  lógicas: 


Introducción  de  la  negación 
Eliminación  de  la  negación 
Eliminación  de  la  doble  negación 
Introducción  de  la  conjunción 
Eliminación  de  la  conjunción 

Introducción  de  la  disyunción 
Eliminación  de  la  disyunción 
Introducción  del  blcondlclonal 
Eliminación  del  bicondlcional 

Eliminación  del  condicional 
Introducción  del  condicional 


De  A  -»  B  y  A  ( — ,B)  se  infiere  A 

De  -i  A  se  infiere  A  B 

De  -i  (-1  A)  se  infiere  A 

De  A  y  B  se  infiere  A  a  B 

De  A  a  B  se  infiere  A 

De  A  a  B  se  infiere  B 

De  A  se  infiere  AvB 

DeAvB,A->RyB->Rse  infiere  R 

DeA^ByB^Ase  infiere  A  <-»  B 

De  A  <-»  B  se  infiere  A  ->■  B 

De  A  <-»  B  se  infiere  B  ->■  A 

De  A  y  A  B  se  infiere  B 

SI  A  permite  una  prueba  de  B,  se  Infiere  A  B 


Demostración 

Una  demostración  (o  prueba)  es  una  sucesión  de  aplicaciones  de  reglas  de  inferencia  que 
permite  llegar  a  una  conclusión  a  partir  de  determinadas  premisas  o  axiomas.  Como  la 
implicación  de  una  fórmula  a  otra  es  una  relación  transitiva,  la  idea  es  que  todas  las  fórmulas 
que  se  vayan  obteniendo  sucesivamente  estén  implicadas  por  las  premisas  o  axiomas. 

De  esta  manera  las  pruebas  se  pueden  representar  como  las  formas  argumentativas 
estudiadas  anteriormente:  una  sucesión  finita  de  fórmulas  bien  formadas  o  formas  enunciativas 
A-i,  A2,  ....  An,  tal  que  para  todo  I,  con  1  <  i  <  n,  A¡  es  una  premisa  o  axioma,  o  bien  se  infiere  de 
miembros  anteriores  de  la  sucesión  como  consecuencia  directa  de  la  aplicación  de  una  regla 
de  inferencia.  Usaremos  la  notación: 


T  |— sd  An 

que  se  lee:  “A  partir  de  los  elementos  del  conjunto  í~  se  infiere  An”.  El  subíndice  SD 
especifica  qué  sistema  deductivo  se  utiliza  para  llevar  a  cabo  la  prueba  (por  ejemplo  SD  puede 
ser  L).  Notar  la  diferencia  entre  los  símbolos  |-  y  |=.  El  primero,  que  estamos  considerando 
ahora,  se  asocia  a  lo  sintáctico,  mientras  que  el  segundo  lo  hemos  empleado  previamente  para 
las  definiciones  semánticas. 
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Para  ejemplificar  una  prueba  utilizando  L  demostramos  a  continuación  la  Implicación  A  ->■  A, 
es  decir  que  vamos  a  llevar  a  cabo  |-L  A  ->■  A: 


1.  (A  -^((A  ->  A)  ->  A))  ->  ((A  ->  (A  ->  A))  ->  (A  ->  A)) 

2.  A  ->  ((A  A)  A) 

3.  (A  ->  (A  ->  A))  ->  (A  ->  A) 

4.  A  (A  A) 

5.  A^A 


instanclando  el  axioma  L2 
instanclando  el  axioma  U 
MP  entre  1  y  2 
instanclando  el  axioma  L-i 
MP  entre  3  y  4 


Para  un  segundo  ejemplo  también  en  L  tendremos  en  cuenta  la  siguiente  argumentación: 

Si  tenemos  una  buena  especificación  entonces  obtenemos  un  diseño  correcto. 

Si  obtenemos  un  diseño  correcto  obtenemos  un  buen  programa,  a  menos  que 
nuestro  programador  sea  mediocre. 

Nuestro  programador  no  es  mediocre. 


Se  quiere  demostrar: 


Si  tenemos  una  buena  especificación  obtenemos  un  buen  programa. 

Primeramente  formalizamos  el  razonamiento  mediante  las  variables  de  enunciado  p,  q,  r,  s: 

p  :  Tenemos  una  buena  especificación 
q  :  Obtenemos  un  diseño  correcto 
r :  Obtenemos  un  buen  programa 
s  :  Nuestro  programador  es  mediocre 

Las  fórmulas  que  representan  la  argumentación  son: 

Ai :  p  — >•  q 

A2 :  q  — »  (( — 1  s)  — >  r) 

A3 :  — 1  s 
A4 :  p  ^  r 


La  premisa  A2  también  se  podría  formalizar  con  la  fórmula  (q  a  (-.  s))  r,  que  es 
lógicamente  equivalente  a  la  que  hemos  planteado. 

Como  primer  paso,  utilizando  las  premisas  A-,  y  A2,  los  axiomas  L-i  y  L2  y  la  regla  de  modus 
ponens,  no  es  difícil  alcanzar  la  siguiente  conclusión  intermedia  (el  detalle  de  los  pasos  queda 
como  ejercicio  para  el  lector): 

A5 :  p  -»  ((-.  s)  -»  r) 


35 


Por  instanciadón  del  axioma  L2  obtenemos: 


A6 :  (P  ->  ((-.  s)  ->  r))  ->  ((p  ->•  (-1  s))  ->  (p  ->  r)) 

Aplicando  modus  ponens  entre  A5y  A6 : 

A7 :  (P  ->  (-.  s))  ->  (p  ->  r) 

Por  instanciadón  del  axioma  L-i  obtenemos: 

A8 :  (— i  s)  — >  (p  — >  (-1  s)) 

Aplicando  modus  ponens  entre  A3  y  A8 : 

Ag :  p  —>  (—1  s) 

Finalmente,  aplicando  nuevamente  modus  ponens,  ahora  entre  A7  y  Ag,  llegamos  a  la 
conclusión  buscada: 

A10:  p  -»  r 


Sensatez  y  completitud  de  un  sistema  deductivo 

De  un  sistema  deductivo  se  espera  naturalmente  que  sus  demostraciones  produzcan 
conclusiones  correctas,  y  también  en  lo  posible  la  propiedad  inversa,  es  decir  que  sea  capaz  de 
demostrar  todas  y  cada  una  de  ellas.  Formalmente  ambas  propiedades  se  pueden  formular  de 
la  siguiente  manera: 

•  Un  sistema  deductivo  SD  es  sensato  (también  se  lo  conoce  como  correcto)  si  V  |-SD  A 
implica  T  |=  A. 

•  Recíprocamente,  un  sistema  deductivo  SD  es  completo  si  T  |=  A  implica  T  |-Sd  A. 

Por  un  simple  razonamiento  inductivo  es  claro  que  la  sensatez  de  un  sistema  deductivo  está 
garantizada  si  se  cuenta  con  axiomas  verdaderos  y  reglas  de  inferencia  sensatas,  es  decir  que 
preservan  la  verdad.  Por  su  parte,  la  completitud  depende  de  los  conjuntos  de  axiomas  y  reglas 
de  inferencia  que  se  escojan  (por  ejemplo,  solo  con  la  regla  de  modus  ponens  un  sistema 
deductivo  no  podría  inferir  una  conclusión  que  proceda  de  un  razonamiento  del  tipo  modus 
tollens ,  que  establece  que  de  A  ->■  B  y  B  se  infiere  A). 

Proposición.  El  sistema  axiomático  L  es  sensato  y  completo. 
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Decidibilidad 


Un  sistema  deductivo  completo  puede  demostrar  cualquier  conclusión  lógicamente 
implicada  por  las  premisas,  lo  que  hemos  anotado  con  I"  |=  A.  ¿Pero  qué  ocurre  si  T  A? 

En  la  teoría  de  la  computación,  se  define  un  problema  de  decisión  como  aquél  que  tiene  dos 
respuestas  posibles:  “sí”  o  “no”.  Se  dice  que  un  problema  de  decisión  es  decidióle  si  existe  un 
algoritmo  (es  decir,  un  procedimiento  que  siempre  termina)  que  lo  resuelve. 

En  el  marco  de  los  sistemas  deductivos  es  muy  relevante  también  la  cuestión  de  la 
decidibilidad,  que  se  formula  de  la  siguiente  manera.  Dados  I"  y  A,  ¿existe  algún  algoritmo  que 
responda  “sí”  en  el  caso  de  que  í"  |=  A  y  que  responda  “no”  en  el  caso  de  que  T  I#  A? 

Claramente,  en  la  lógica  proposicional  esta  cuestión  tiene  una  respuesta  positiva,  utilizando 
algoritmos  basados  en  las  tablas  de  verdad. 


Limitaciones  de  la  lógica  proposicional 

Podemos  observar  que  en  el  universo  del  discurso  de  esta  lógica  no  hay  objetos,  sino 
afirmaciones  que  se  formulan  sobre  objetos.  Esto  hace  que  el  poder  expresivo,  y  por  tanto  la 
utilidad  de  esta  lógica  resulten  pobres.  En  los  razonamientos  deductivos  hay  normalmente 
premisas  que  expresan  conocimiento  sobre  objetos,  lo  que  es  Imposible  formalizar  en  la  lógica 
proposicional  a  menos,  claro  está,  que  forcemos  la  conceptuallzaclón  particularizando  lo 
general,  tal  como  hemos  hecho  en  los  ejemplos  de  este  capítulo.  En  el  siguiente  capítulo 
estudiaremos  una  lógica  más  expresiva,  la  lógica  de  predicados,  que  nos  permitirá  representar 
relaciones  entre  objetos. 


Ejercicios 

1 .  Traduzca  al  lenguaje  simbólico  los  siguientes  enunciados: 
i.  Juan  necesita  un  matemático  o  un  informático. 

¡I.  SI  Juan  necesita  un  informático  entonces  necesita  un  matemático. 

iii.  SI  Juan  no  necesita  un  matemático  entonces  necesita  un  informático. 

iv.  SI  Juan  contrata  un  informático  entonces  el  proyecto  tendrá  éxito. 

v.  SI  el  proyecto  no  tiene  éxito  entonces  Juan  no  ha  contratado  un  informático. 

vi.  El  proyecto  tendrá  éxito  si  y  solo  si  Juan  contrata  un  informático. 

vii.  Para  aprobar  Lógica,  el  alumno  debe  asistir  a  clase,  desarrollar  un  cuaderno  de 
prácticas  aceptable  y  demostrar  que  dicho  cuaderno  ha  sido  desarrollado  por  él;  o 
desarrollar  un  cuaderno  de  prácticas  aceptable  y  aprobar  el  examen  final. 

viii.  El  alumno  puede  asistir  a  clase  u  optar  por  un  examen  libre. 
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¡x.  Seleccione  de  la  lista  anterior  un  par  de  enunciados  que  tengan  la  misma  forma,  y  un 
par  de  enunciados  que  tengan  el  mismo  significado. 

2.  Dadas  las  letras  de  las  siguientes  canciones,  simbolice  los  enunciados  correspondientes. 
Además  encuentre  en  los  textos,  de  ser  posible,  contradicciones  y  tautologías: 

i.  “Ya  no  sé  qué  hacer  conmigo”.  Cuarteto  de  Nos. 

Ya  viajé,  ya  pegué,  ya  sufrí,  ya  eludí,  ya  huí,  ya  asumí,  ya  me  fui,  ya  volví,  ya  fingí,  ya 
mentí, 

y  entre  tantas  falsedades,  muchas  de  mis  mentiras  ya  son  verdades. 

Hice  fácil  las  adversidades,  y  me  compliqué  en  las  nimiedades, 
y  oigo  una  voz  que  dice  con  razón, 
vos  siempre  cambiando  ya  no  camblás  más, 
y  yo  estoy  cada  vez  más  Igual, 
ya  no  sé  qué  hacer  conmigo. 

ii.  “Un  poco  perdido”.  Tan  biónica. 

Todos  los  días  tienen  sol  y  tormenta, 
si  pudieras  volver  a  confiar. 

Anoche  resucitaron  los  inmortales, 
se  escucha  nuestra  orquestlta  en  los  arrabales. 

iii.  “Amores  que  matan”.  Joaquín  Sabina. 

No  me  esperes  a  las  doce  en  el  juzgado, 
no  me  digas  "volvamos  a  empezar", 
yo  no  quiero  ni  libre  ni  ocupado, 
ni  carne  ni  pecado, 
ni  orgullo  ni  piedad. 

Yo  no  quiero  contigo  ni  sin  ti, 

lo  que  yo  quiero,  muchacha  de  ojos  tristes, 

es  que  mueras  por  mí. 

Y  morirme  contigo  si  te  matas, 
y  matarme  contigo  si  te  mueres, 
porque  el  amor  cuando  no  muere  mata, 
porque  amores  que  matan  nunca  mueren. 

3.  Sean  A  ,  B,  C  y  D  formas  enunciativas.  Se  sabe  que  A  -»  B  es  una  contradicción  y  que  C 
-»  D  es  una  tautología.  Determinar,  si  es  posible,  cuáles  de  las  siguientes  formas 
enunciativas  son  tautologías  y  cuáles  contradicciones.  Justificar  las  respuestas. 

i.  (C  B)  v  (D  B) 
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¡i.  (A  C  )  v  (B  D) 
iii.  (A  D)  a  (B  D) 


4.  Evalúe  la  validez  de  la  siguiente  argumentación.  Para  ello  escriba  una  forma  argumentativa 
y  determine  si  es  válida  o  inválida: 

Si  Superman  fuese  capaz  de  destruir  el  mal  y  si  quisiese  hacerlo  entonces  lo  haría. 
SI  Superman  no  fuese  capaz  de  destruir  el  mal  entonces  no  sería  poderoso. 

SI  Superman  no  quisiese  destruir  el  mal  entonces  sería  maligno. 

Superman  no  destruye  el  mal. 

SI  Superman  existe  entonces  es  poderoso  y  no  es  maligno. 

Por  lo  tanto,  Superman  no  existe. 

5.  Se  sabe  que: 

La  página  web  tiene  un  error  o  el  examen  de  álgebra  no  es  el  2  de  julio. 

Si  el  examen  de  álgebra  es  el  2  de  julio  entonces  la  página  web  tiene  un  error. 

El  examen  de  álgebra  es  el  14  de  julio  si  y  solo  si  la  página  web  tiene  un  error  y  el 
período  de  exámenes  no  termina  el  1 0  de  julio. 

Teniendo  en  cuenta  que  el  período  de  exámenes  termina  el  10  de  julio  y  que  la  página 
web  tiene  un  error,  deducir  la  verdad  o  falsedad  de  los  siguientes  enunciados: 

i.  El  examen  de  álgebra  es  el  2  de  julio. 

ii.  Si  la  página  web  no  tiene  un  error  entonces  el  examen  de  álgebra  es  el  14  de  julio. 

6.  Se  tienen  las  siguientes  premisas: 

Si  Juan  tiene  suerte  y  llueve  entonces  estudia. 

Juan  aprobará  si  y  solo  si  estudia  o  tiene  suerte. 

SI  Juan  no  tiene  suerte  entonces  no  llueve. 

Sabiendo  que  llueve,  responder: 

I.  ¿Aprobará  Juan? 

¡I.  ¿Tendrá  suerte  Juan? 

7.  La  Isla  de  los  caballeros  y  los  picaros  está  habitada  solamente  por  estos  dos  tipos  de 
personas.  Los  caballeros  tienen  la  particularidad  de  que  solo  dicen  la  verdad,  mientras  que 
los  picaros  siempre  mienten.  Hay  dos  personas,  Ay  B,  habitantes  de  la  Isla. 

i.  A  hace  la  siguiente  afirmación:  “Al  menos  uno  de  nosotros  es  picaro”.  ¿Qué  son  A  y  B? 
¡I.  A  dice:  “Soy  un  picaro  pero  B  no  lo  es”.  ¿Qué  son  A  y  B? 

iii.  Alguien  pregunta  a  B:  “¿Es  usted  un  caballero?”.  B  responde:  “SI  soy  un  caballero 
entonces  me  comeré  el  sombrero”.  Probar  que  B  deberá  comerse  el  sombrero. 

8.  En  una  demostración  presentada  en  el  capítulo  en  el  marco  del  sistema  axiomático  L,  se 
indicó  que  de  las  premisas: 
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p 

q  ->  ((-,  s)  ->  r) 

podía  llegarse  sin  dificultad  a  la  conclusión: 

P  ->  ((-  s)  ->  r) 

recurriendo  a  los  axiomas  L-i  y  L2y  la  regla  de  modus  ponens.  Se  pide  desarrollar  la  prueba. 
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CAPÍTULO  2 
Lógica  de  predicados 

Claudia  Pons 


Introducción 

La  maquinaria  de  la  lógica  preposicional  permite  formalizar  y  teorizar  sobre  la  validez  de  una 
gran  cantidad  de  enunciados.  Sin  embargo  existen  enunciados  intuitivamente  válidos  que  no 
pueden  ser  probados  por  dicha  lógica.  Por  ejemplo,  considérese  el  siguiente  razonamiento: 

Todos  los  hombres  son  mortales. 

Sócrates  es  un  hombre. 

Por  lo  tanto,  Sócrates  es  mortal. 

En  este  caso  no  existe  ninguna  de  las  conectivas  estudiadas  en  la  lógica  proposlclonal.  Su 
formallzaclón  es  la  siguiente: 

P 

q 

Por  lo  tanto,  r 

Esta  es  claramente  una  forma  de  razonamiento  Incorrecto,  lo  que  contradice  nuestra 
intuición.  Sucede  que  para  estudiar  la  validez  de  este  tipo  de  razonamientos  necesitamos 
analizar  la  estructura  interna  de  las  variables  de  enunciado.  Dicha  problemática  la  resuelve 
la  lógica  de  predicados. 

Un  predicado  es  “lo  que  se  afirma  de  un  sujeto  en  una  proposición”  (D.R.A.E.).  Los  predicados 
pueden  definir  propiedades  sobre  uno,  dos,  o  más  individuos  (u  objetos),  establecen  relaciones 
entre  ellos.  Así,  hay  predicados  unarios  (o  monádicos),  binarios,  etc.  Los  predicados  unarios  definen 
relaciones  de  grado  uno,  como  por  ejemplo  “el  7  es  un  número  primo”.  Un  ejemplo  de  predicado 
binario,  que  define  una  relación  de  grado  dos,  es  “el  9  es  múltiplo  de  3”. 

Dicho  de  otra  manera,  la  lógica  de  predicados  nos  permite  “entrar  en  el  contenido  de  las 
proposiciones”.  Enunciados  como  “8  es  menor  que  10”  y  “10  es  mayor  que  8”,  en  la  lógica 
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proposicional  solo  pueden  representarse  como  elementos  atómicos.  De  este  modo  no 
podríamos  expresar  ideas  tan  sencillas  como:  “si  x  es  menor  que  y  entonces  y  es  mayor  que  x”. 
La  lógica  de  predicados  en  cambio  nos  permite  representar  las  relaciones  “menor  que”  y 
“mayor  que”. 

Ahora  bien,  a  veces  también  surge  la  necesidad  de  representar  propiedades  de  relaciones, 
es  decir  relaciones  entre  relaciones.  La  lógica  de  predicados  limitada  a  representar  relaciones 
entre  objetos  se  denomina  de  primer  orden,  la  que  permite  expresar  relaciones  entre  relaciones 
se  conoce  como  de  segundo  orden,  y  así  sucesivamente.  En  este  capítulo  nos  centraremos  en 
la  lógica  de  predicados  de  primer  orden. 


Dominios 

Tal  como  hicimos  cuando  presentamos  la  lógica  proposicional,  se  van  a  describir  enseguida 
los  aspectos  sintácticos  y  semánticos  de  la  lógica  de  predicados.  Antes,  introducimos  un 
componente  central  para  su  estudio,  que  es  el  dominio.  Los  dominios  están  constituidos  por: 

•  Un  universo  del  discurso  U,  que  es  un  conjunto  no  vacío  de  objetos. 

•  Un  conjunto  finito  F  de  funciones,  cada  una  de  las  cuales  asigna  a  una  determinada 
cantidad  de  objetos  o  argumentos  de  U  un  objeto  de  U: 


F  =  {f11,f12,  ....  f2!,  f*2j  ...} 

El  símbolo  f  j  denota  la  j-éslma  función  de  I  argumentos. 

•  Un  conjunto  finito  P  de  relaciones  entre  los  objetos  de  U: 

P  =  {P11,P12,  ...,P2i,P22,  ...} 

El  símbolo  P  j  denota  la  j-éslma  relación  de  grado  I. 

Las  definiciones  de  las  funciones  y  relaciones  pueden  ser  extensionales,  cuando  se 
efectúan  enumerando  las  tupias  que  las  componen,  o  intensionales,  si  se  establecen  a  partir  de 
otras  funciones  o  relaciones.  Precisando  un  poco  más,  una  definición  extensional  de  una 
función  f  de  grado  n,  es  decir  f  :  Un  U,  hace  corresponder  a  n-tuplas  de  objetos  de  U  con 
objetos  de  U.  Y  una  definición  extensional  de  una  relación  de  grado  n  es  un  subconjunto  del 
producto  cartesiano  Un.  Las  definiciones  extensionales  expresan  conocimiento  sobre 
situaciones  particulares  de  los  objetos  de  U  (conocimiento  factual).  En  cambio,  las  definiciones 
intensionales  expresan  conocimiento  normativo  sobre  el  dominio. 
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Clarificamos  los  conceptos  anteriores  mediante  el  siguiente  ejemplo: 


•  U  =  N,  es  decir  que  U  es  el  conjunto  de  los  números  naturales. 

•  F  =  {suc,  +},  es  decir  que  F  es  el  conjunto  formado  por  la  función  suc  (por  sucesor)  y  la 
función  +.  Asumiendo  definida  la  suma  habitual  de  los  números  naturales,  definimos  la 
función  suc  del  siguiente  modo: 


suc  =  {(x,  y)  |  y  =  x  +  1} 

•  P  =  {=,  <},  es  decir  que  P  es  el  conjunto  que  tiene  las  relaciones  habituales  =  y  <  de  los 
números  naturales,  que  asumimos  definidas. 

Sea  ahora  este  otro  ejemplo,  asumiendo  definida  la  relación  habitual  >  de  los  números 
naturales: 

•  U  =  {Alex,  Tomás,  Catty,  Florencia}.  U  es  un  conjunto  de  niños. 

•  F  =  {edad,  altura},  siendo: 

edad  =  {(Alex,  13),  (Tomás,  15),  (Catty,  14)  ,  (Florencia,  15)} 
altura  =  {(Alex,  174),  (Tomás, 176),  (Catty,  168),  (Florencia,  164)} 

•  P  =  {juega-básquet,  toca-piano,  más-alto,  más-joven},  siendo: 

juega-básquet  =  {Tomás} 
toca-plano  =  {Alex,  Catty} 
más-alto  =  {(x,  y)  |  altura(x)  >  altura(y)} 
más-joven  =  {(x,  y)  |  edad(y)  >  edad(x)} 

Obsérvese  que  las  nociones  de  verdad  y  falsedad,  que  en  la  lógica  proposlclonal  se 
declaran  explícitamente  o  se  calculan,  en  la  lógica  de  predicados  están  directamente  implícitas 
en  el  dominio.  Más  claro,  tomando  un  caso  del  último  ejemplo:  en  lugar  de  establecer  la  verdad 
de  que  Alex  toca  el  piano,  incluimos  directamente  a  Alex  en  el  conjunto  de  niños  que  tocan  el 
piano,  que  es  la  manera  extenslonal  de  definir  dicha  propiedad. 


Sintaxis:  el  lenguaje  simbólico  de  la  lógica 

Al  igual  que  en  el  capítulo  anterior,  describimos  primeramente  el  lenguaje  simbólico  que 
utilizaremos  para  estudiar  los  mecanismos  de  razonamiento,  ahora  de  la  lógica  de  predicados. 
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Alfabeto 

El  alfabeto  del  lenguaje  está  formado  por: 

•  Un  conjunto  de  símbolos  de  constantes  C  =  {Ci,  c2,  ...}. 

•  Un  conjunto  de  símbolos  de  variables  X  =  {x1;  x2,  ...}. 

•  Un  conjunto  de  símbolos  de  funciones  F  =  {fi,  f2,  f2-,,  f2,  ...}. 

•  Un  conjunto  de  símbolos  de  predicados  P  =  {P\,  P\,  ...,  P2U  P22,  ...}. 

•  Símbolos  de  conectivas  (los  mismos  de  la  lógica  proposicional):  a,  v,  <-4. 

•  Paréntesis  de  apertura  y  cierre. 

•  El  cuantificador  universal  V  (“para  todo”)  y  el  cuantificador  existenclal  3  (“existe”). 

Gramática 

La  gramática  del  lenguaje  define  dos  clases  de  elementos,  por  un  lado  los  términos,  que  son 
las  expresiones  que  denotan  los  objetos  del  dominio,  y  por  el  otro  las  fórmulas  bien  formadas, 
con  las  que  se  expresan  las  relaciones  entre  los  objetos. 

Los  términos  se  definen  inductivamente  de  la  siguiente  manera: 

i.  Los  símbolos  de  constantes  y  de  variables  son  términos. 

ii.  Si  t-i,  ...,  tn  son  términos  yf  n¡  es  un  símbolo  defunción,  entonces f  n¡ (t-, ,  ...,  tn)  es  un  término. 

iii.  Solo  las  expresiones  que  pueden  ser  generadas  mediante  las  cláusulas  I  y  ii  en  un  número 
finito  de  pasos  son  términos. 

Por  su  parte,  las  fórmulas  bien  formadas  se  definen  así: 

i.  Si  t-i,  ...,  tn  son  términos  y  P  n¡es  un  símbolo  de  predicado,  entonces  P  n¡  (ti,  ...,  tn)  es  una 
formula  bien  formada.  En  este  caso  se  denomina  fórmula  atómica  o  directamente  átomo. 

ii.  Si  A  y  B  son  fórmulas  bien  formadas,  entonces  (-,  A),  (A  a  B),  (A  V  B),  (A  B)  y  (A  <->  B) 
también  lo  son. 

iii.  SI  A  es  una  fórmula  bien  formada  y  x  es  un  símbolo  de  variable,  entonces  (Vx)  A  y  (3x)  A 
son  fórmulas  bien  formadas. 

¡v.  Solo  las  expresiones  que  pueden  ser  generadas  mediante  las  cláusulas  I  a  iii  en  un  número 
finito  de  pasos  son  fórmulas  bien  formadas. 

Se  mantiene  la  convención  de  poder  prescindir  de  los  paréntesis  innecesarios.  Los 
cuantificadores  tienen  un  alcance  o  radio  de  acción  determinado.  Por  ejemplo,  en  la  fórmula 
bien  formada: 


(Vx)  (P11(x)^P12(x)) 
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las  dos  ocurrencias  del  símbolo  de  variable  x  suceden  dentro  del  alcance  del  cuantificador 
V,  mientras  que  en  la  fórmula  bien  formada: 

(Vx)  P11(x)^P12(x) 

el  V  alcanza  solo  a  la  primera  ocurrencia  de  x.  Diremos  en  el  primer  caso  que  x  está  ligada, 
y  en  el  segundo  que  la  primera  x  está  ligada  y  la  otra  está  libre  (por  lo  que  podría  sustituirse  por 
cualquier  otro  símbolo  de  variable).  Una  fórmula  es  abierta  si  contiene  algún  símbolo  de 
variable  libre,  y  cerrada  si  todos  los  símbolos  de  variables  están  ligados. 

Veamos  un  par  de  ejemplos  de  uso  del  lenguaje  de  la  lógica  de  predicados,  considerando 
dominios  concretos.  Entraremos  ya,  por  ahora  informalmente,  en  el  campo  de  la  semántica. 
Para  las  expresiones  de  la  aritmética  utilizaremos  los  siguientes  símbolos: 

•  c-i  será  el  símbolo  de  constante  para  representar  el  cero. 

•  f\  será  el  símbolo  de  función  para  representar  el  sucesor. 

•  f2i  será  el  símbolo  de  función  para  representar  la  suma. 

•  f2 2  será  el  símbolo  de  función  para  representar  la  multiplicación. 

•  P2-i  será  el  símbolo  de  predicado  para  representar  la  Igualdad. 

Ejemplos  de  representaciones  de  propiedades  aritméticas  son: 

•  P2i  (t1-!  (ct),  Cí).  El  sucesor  del  cero  no  es  Igual  a  cero. 

•  (Vx)  P2-|  (f2-i  (x,  c-i),  x).  El  cero  es  el  neutro  de  la  suma. 

•  (Vx)(Vy)  P2-i  (f2-i  (x,  y),  f2-i  (y,  x)).  La  suma  es  conmutativa. 

•  (Vx)(Vy)  P2-|  (f2-i  (x,  í\  (y)),  f\  (f2i  (x,  y))).  La  suma  de  x  y  el  sucesor  de  y  es  Igual  al  sucesor 
de  la  suma  de  x  e  y. 

•  (Vx)  P2-i  (f2 2  (x,  c-i),  c-i).  Todo  número  multiplicado  por  cero  da  cero. 

•  (Vx)  P2-|  (f2 2  (x,  f\  (c-i )),  x).  El  uno  es  el  neutro  de  la  multiplicación. 

Como  segundo  ejemplo  volvemos  a  un  razonamiento  sobre  nacionalidades  del  capítulo 
anterior.  El  universo  del  discurso  es  el  conjunto  de  todas  las  personas,  y  supongamos  que  c-i 
representa  al  objeto  Juan,  y  P\  y  P\  a  las  propiedades  “es  mendoclno”  y  “es  argentino”, 
respectivamente.  De  esta  manera  podemos  formular  lo  siguiente: 

•  (Vx)  (P\  (x)  P\  (x)).  Todos  los  mendoclnos  son  argentinos. 

•  P\  (c-i).  Juan  es  mendoclno. 

•  P\  (c-i).  Juan  es  argentino. 
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Semántica:  interpretación  y  satisfacción 


Como  antes,  para  definir  la  semántica  nos  apoyamos  fundamentalmente  en  los  conceptos 
de  interpretación  y  satisfacción.  De  todos  modos  ahora  tendremos  que  añadir  otros  conceptos, 
por  ejemplo  el  de  valoración,  que  Introduciremos  enseguida. 


Definición.  Interpretación.  Dados  un  lenguaje  y  un  dominio,  una  interpretación  I  es  una 
función  que  hace  corresponder  a  los  elementos  del  lenguaje  con  los  elementos  del  dominio, 
satisfaciendo  las  siguientes  condiciones: 

•  Si  c¡  es  un  símbolo  de  constante,  entonces  l(c¡)  e  U  (los  símbolos  de  constantes 
representan  objetos  del  universo  del  discurso). 

•  Si  f  n¡  es  un  símbolo  de  función  de  grado  n,  entonces  l(f ")  =  Un  U  (los  símbolos  de 
función  representan  funciones  del  dominio). 

•  Si  P  n¡  es  un  símbolo  de  predicado  de  grado  n,  entonces  l(P  n¡)  c  Un  (los  símbolos  de 
predicado  representan  relaciones  del  dominio). 

Por  lo  tanto,  una  interpretación  formaliza  la  noción  de  que  los  símbolos  representan  las 
abstracciones  de  la  realidad  modelada  en  el  dominio  correspondiente.  Retomemos  el  ejemplo 
de  la  aritmética.  Hemos  definido  los  símbolos  Ci,  f\,  fi,  f^  y  P2i-  Lo  que  hicimos  antes 
intuitivamente  ahora  podemos  formalizarlo  de  la  siguiente  manera: 

•  l(c-i)  es  el  cero  de  los  naturales. 

•  l(f\)  es  la  función  sucesor  en  los  naturales. 

•  1(1*1)  es  la  función  suma  en  los  naturales. 

•  l(f22)  es  la  función  multiplicación  en  los  naturales. 

•  l(P2i)  es  la  relación  de  igualdad  en  los  naturales. 

Bajo  esta  interpretación  hemos  formulado  algunas  propiedades,  como: 

•  (Vx)  P2-i  (f2i  (x,  c-i),  x).  El  cero  es  el  neutro  de  la  suma,  es  decir:  (Vx)(x  +  0  =  x). 

•  (Vx)(Vy)  P2i  (f2-i  (x,  y),  f2i  (y,  x)).  La  suma  es  conmutativa,  es  decir:  (Vx)(Vy)(x  +  y  =  y  +  x). 

Si  bien  ésta  es  la  interpretación  “habitual”  o  “estándar”,  nada,  salvo  el  sentido  común,  nos 
impide  plantear  otras  Interpretaciones  de  los  símbolos.  Por  ejemplo,  podríamos  establecer: 

I (f2-] )  es  la  función  potencia  en  los  naturales,  con  potencla(x,  y)  =  xy 

Bajo  esta  nueva  Interpretación,  entonces,  quedaría  formulado  lo  siguiente,  respectivamente: 


46 


•  (Vx)  P2-|  (f2 -|  (x,  c-i),  x).  El  cero  es  el  neutro  de  la  potencia,  es  decir:  (Vx)(x°  =  x),  lo  cual  no  se 
cumple  en  los  números  naturales. 

•  (Vx)(Vy)  P2-i  (f2-)  (x,  y),  f2-,  (y,  x)).  La  potencia  es  conmutativa,  es  decir:  (Vx)(Vy)(xy  =  yx),  que 
tampoco  se  cumple  en  el  dominio  considerado. 


Definición.  Valoración.  Para  completar  la  definición  anterior  falta  establecer  una  manera 
de  asignar  objetos  a  todos  los  términos  del  lenguaje.  Esto  se  logra  por  medio  de  una  función 
denominada  valoración  (en  una  interpretación).  Dada  una  interpretación  I  y  una  valoración  v, 
esta  última  queda  completamente  especificada  indicando  cómo  se  asignan  objetos  a  los 
símbolos  de  variables,  es  decir  v(x1),  v(x2),  ....  dado  que  se  define: 

•  Si  c¡  es  un  símbolo  de  constante,  v(c¡)  =  l(c¡). 

•  Si  f  n¡  es  un  símbolo  de  función,  v(f  n¡  (ti,  ...,  tn))  =  l(f  n¡)(v(ti),  ...,  v(tn)). 

Por  ejemplo,  en  la  interpretación  estándar  de  la  aritmética,  fijando  v(x)  =  7  la  valoración  del 
término  f\  (f2!  (x,  Ci))  se  obtiene  de  la  siguiente  manera: 

v(f11  (f2!  (x,  d)))  =  l(f1i)(v(f21  (x,  d)))  =  suc(v(f21  (x,  Ci)))  =  suc(l(f21)(v(x),  v(d)))  = 
suc(+(v(x),  v(ci)))  =  suc(+(7,  0))  =  suc(7)  =  8 


Definición.  Satisfacción.  En  la  lógica  proposlclonal  la  satisfacción  de  un  enunciado  depende 
de  la  interpretación  de  las  variables  de  enunciado  (p,  q,  r,  etc).  Por  lo  visto  recién,  en  la  lógica 
de  predicados  tenemos  que  considerar  también  la  valoración  de  los  términos.  Para  denotar  que 
una  fórmula  A  se  satisface  con  una  interpretación  I  y  una  valoración  v,  escribiremos  |=i,v  A. 
Haciendo  un  parangón  entre  las  variables  de  enunciado  de  la  lógica  proposlclonal  y  las 
fórmulas  atómicas  de  la  lógica  de  predicados  (extensible  respectivamente  a  los  enunciados  y 
las  fórmulas  de  primer  orden  en  general):  en  el  primer  caso,  a  las  variables  de  enunciado  se  les 
asigna  el  valor  verdadero  o  falso;  en  el  segundo  caso,  una  fórmula  atómica  se  satisface  o  es 
verdadera  con  una  interpretación  y  una  valoración,  si  luego  de  evaluarse  sus  términos  e 
interpretarse  su  símbolo  de  predicado,  se  obtiene  una  tupia  de  objetos  de  la  relación 

representada.  La  definición  inductiva  de  la  satisfacción  de  una  fórmula  es  la  siguiente: 

•  |=i, v  P(t-i,..,tn)  si  y  solo  si  (v(tt ) . v(tn))  e  l(P) 

•  |=|>V  — i  A  si  y  solo  si  no  es  el  caso  que  |=i, v  A 

•  |=i,vAvB  si  y  solo  si  o  bien  |=i,v  A  o  bien  |=i,vB  o  ámbos 

•  |=,,vAaB  si  y  solo  si  |=i,v  A  y  |=|,VB 

•  |=i,v  A  — >  B  si  y  solo  si  no  es  el  caso  que  |=i,v  A  y  no  |=i,v  B 
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•  |=i,vA<->-B  si  y  solo  si  |=|  V  A  -»  B  y  |=|  V  B  A 

•  |=i,v  (Vx)  A  si  y  solo  si  para  todo  objeto  c  de  U  se  cumple  |=iiW  A,  con  w(x)  =  c,  w(y)  =  v(y) 
para  y  #  x.  Es  decir  que  A  es  verdadera  cualquiera  sea  la  valoración  de  x. 

•  |=iiV  (3x)  A  si  y  solo  si  para  algún  objeto  c  de  U  se  cumple  |=!iW  A,  con  w(x)  =  c,  w(y)  =  v(y) 
para  y  #  x.  En  este  caso  en  cambio  alcanza  con  que  A  sea  verdadera  considerando  una 
valoración  particular  de  x. 


Definición.  Verdad,  modelo  y  validez.  De  acuerdo  a  lo  que  definimos  recién,  una  fórmula 
A  es  satisfactible  cuando  existe  una  Interpretación  I  y  una  valoración  v  que  cumplen  |=|  V  A;  de 
lo  contrario  es  ¡nsatisfactible.  Un  conjunto  de  fórmulas  {Ai,  An}  es  satisfactible  cuando 
existen  I  y  v  tales  que  |=ijV  (A-i  a  ...  a  An),  e  ¡nsatisfactible  en  caso  contrario.  Un  ejemplo  de 
conjunto  ¡nsatisfactible  es  {P(x),  P(x)},  cualquiera  sea  P. 

Si  en  particular  una  fórmula  A  se  satisface  con  una  interpretación  I  cualquiera  sea  la 
valoración  utilizada,  se  dice  que  A  es  verdadera  en  I,  y  que  I  es  un  modelo  de  A.  Se  escribe 
así:  |=i  A.  Una  interpretación  es  un  modelo  de  un  conjunto  de  fórmulas  si  es  un  modelo  de  cada 
una  de  ellas.  Por  ejemplo,  la  interpretación  estándar  de  la  aritmética  es  un  modelo  de  la 
fórmula  ya  vista  (Vx)  P ^  (f2-i  (x,  c-i),  x):  todo  numero  natural  x  cumple  que  x  +  0  =  x.  Como 
contrapartida,  decimos  que  una  fórmula  A  es  falsa  en  una  interpretación  I  si  no  existe  ninguna 
valoración  en  I  que  la  satisfaga. 

Finalmente,  las  fórmulas  verdaderas  en  toda  interpretación  se  identifican  como  lógicamente 
válidas  o  directamente  válidas.  La  notación  para  una  fórmula  válida  A  es  |=  A.  Por  ejemplo, 
(Vx)  P(x)  (3x)  P(x)  es  válida,  cualquiera  sea  P.  Particularmente,  una  fórmula  válida  cuya 
estructura  se  corresponde  con  una  tautología  de  la  lógica  proposicional,  como  por  ejemplo  P(x) 
v  (-1  P(x)),  es  una  tautología  de  la  lógica  de  predicados.  Las  fórmulas  válidas  no  proporcionan 
información  alguna  de  un  dominio.  Las  fórmulas  que  buscamos  para  representar  conocimiento 
son  las  verdaderas. 


Mecanismos  formales  de  razonamiento 

Definimos  previamente  que  un  mecanismo  de  razonamiento  para  una  lógica  es  un  método 
sintáctico  que  se  vale  de  reglas  de  inferencia  para  aplicarlas  sobre  cierta  información  inicial 
derivando  nueva  información.  Nos  permite  ampliar  el  conocimiento  que  tenemos  de  un  dominio, 
utilizando  recursos  meramente  sintácticos,  por  supuesto  mientras  se  cumpla  la  propiedad  de 
sensatez  que  repasaremos  enseguida.  En  un  sentido  representa  el  fin  último  de  la  lógica,  para 
conducir  nuestro  pensamiento  organizadamente  a  la  construcción  de  juicios  correctos,  por 
medio  del  conocimiento  aplicado  adecuadamente.  En  lo  que  sigue  describimos  un  conocido 
sistema  axiomático  de  la  lógica  de  predicados,  que  utilizaremos  para  estudiar  los  distintos 
aspectos  de  los  mecanismos  deductivos. 
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Sistema  axiomático  K 


El  sistema  axiomático  K  incluye  los  (esquemas  de)  axiomas  L|,  L2y  L3y  la  regla  MP  (modus 
ponens)  del  sistema  L  que  estudiamos  en  el  marco  de  la  lógica  proposlclonal,  y  agrega  tres 
(esquemas  de)  axiomas  y  una  regla  de  inferencia,  que  se  necesitan  por  la  existencia  de  los 
cuantificadores.  A  los  axiomas  de  L  los  renombramos  con  la  letra  K: 

Axiomas  de  K 

•  K, :  A  ->  (B  ->  A) 

•  K2 :  (A  ->  (B  ->  C))  ->  ((A  ->  B)  ->  (A  ->  C)) 

.  K3 :  (h  A)  ->  (-iB))  ->  (B  ->  A) 

•  K4 :  (Vx)  A  ->■  A,  si  x  no  está  libre  en  A 

•  K5 :  (Vx)  A(x)  A(t),  si  t  está  libre  para  x  en  A(x) 

•  K6 :  (Vx)  (A  B)  -»  (A  (Vx)  B),  si  x  no  está  libre  en  A 

El  único  axioma  que  amerita  cierta  aclaración  es  el  K5.  Un  término  t  está  libre  para  x  en  A(x) 
si  x  no  está  libre  en  A(x)  dentro  del  alcance  de  un  (Vy),  siendo  y  integrante  de  t.  La  idea  es  que 
t  puede  sustituir  cualquier  ocurrencia  libre  de  xen  A(x)  solo  cuando  no  existe  interacción  con  un 
cuantificador  de  A(x).  Notar  que  este  axioma  es  un  caso  general  del  axioma  K4,  al  que  algunos 
autores  no  Incluyen. 

Reglas  de  inferencia  de  K 

•  MP:  a  partir  de  A  y  de  A  B  se  infiere  B 

•  Generalización:  de  A  se  infiere  (Vx)  A 

La  aplicación  de  la  regla  de  generalización  tiene  un  efecto  contrario  al  del  uso  de  los 
axiomas  K4  y  K5,  los  cuales  particularizan  a  partir  de  fórmulas  cuantiflcadas  universalmente. 


Demostración 

Mantenemos  la  definición  del  capítulo  anterior.  Una  demostración  (o  prueba)  es  una 
sucesión  de  aplicaciones  de  reglas  de  inferencia  que  a  partir  de  premisas  o  axiomas  obtiene 
una  conclusión  (o  teorema). 

Desarrollamos  a  continuación  un  ejemplo  muy  sencillo  de  demostración  en  el  marco  del 
sistema  axiomático  K.  Vamos  a  probar,  utilizando  nomenclatura  previa: 
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Pi :  Todos  los  mendocinos  son  argentinos.  Es  decir:  (Vx)(P\  (x)  P^x)). 

P2 :  Juan  es  mendocino.  Es  decir:  P1-,  (c-i). 

Conclusión:  Juan  es  argentino.  Es  decir:  P^Ci). 

La  prueba  es  la  siguiente: 

1.  (Vx)(P1i  (x)  ^  P12(x))  premisa  Pt 

2.  (Vx)(P\  (x)  P12(x))  (P\  (ci)  -»  P^fci))  instanciando  el  axioma  K5 

3.  P^ -|  (c-i )  — ^  P^2  (c-i))  MP  entre  1  y  2 

4.  P1i(c-i)  premisa  P2 

5.  P^íc-i)  MPentre3y4 

Sensatez,  completitud  y  decidibilidad  de  un  sistema  deductivo 

Al  Igual  que  lo  visto  para  la  lógica  proposlclonal,  definimos: 

•  Un  sistema  deductivo  SD  es  sensato  (o  correcto)  si  T  |-SD  A  implica  T  |=  A. 

•  Recíprocamente,  un  sistema  deductivo  SD  es  completo  si  T  |=  A  implica  Y  |-SD  A. 

Por  lo  tanto,  considerando  solo  los  axiomas  y  reglas  de  inferencia  de  SD,  si  SD  es  sensato 
se  puede  asegurar  que  solo  permite  demostrar  fórmulas  válidas,  y  si  es  completo,  que  toda 
fórmula  válida  es  demostrable  en  SD. 

Proposición.  El  sistema  axiomático  K  es  sensato  y  completo. 

Fue  K.  Gódel  quien  probó  en  1929  la  completitud  de  la  lógica  de  predicados  de  primer 
orden.  Volveremos  enseguida  a  este  matemático  y  la  problemática  de  la  completitud. 

Ahora  bien,  en  el  capítulo  anterior  sugeríamos  como  procedimiento  alternativo  a  los 
sistemas  deductivos  para  las  demostraciones  lógicas,  algoritmos  basados  en  las  tablas  de 
verdad.  En  la  lógica  de  predicados,  Intuitivamente,  una  idea  de  este  tipo,  probando 
combinaciones  de  valores  para  los  distintos  componentes  de  las  fórmulas,  asoma  como 
inaplicable  en  general:  se  trataría  de  determinar  en  tiempo  finito  que  una  fórmula  sea  válida,  es 
decir  verdadera  para  todas  las  (posiblemente  infinitas)  interpretaciones  y  todas  las 
(posiblemente  Infinitas)  valoraciones. 

En  efecto,  en  1936  A.  Church  e  independientemente  A.  Turing  demostraron  la 
indecldibilldad  de  esta  lógica:  no  existe  un  algoritmo  que  pueda  determinar,  para  todo  Y  y  A,  si 
r  |=  A  o  T  A.  Lo  mejor  que  se  puede  tener  es  un  algoritmo  que  responda  “sí”  cuando  se 
cumple  T  |=  A,  por  la  completitud  (por  eso  se  dice  que  la  lógica  de  predicados  de  primer  orden 
es  seml-decldible).  Existen  lógicas  particulares,  de  alguna  manera  restringidas,  que  son 
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decidibles.  Por  ejemplo  cuando  el  lenguaje  no  tiene  símbolos  de  constantes  ni  de  funciones  y 
los  símbolos  de  predicados  son  solo  de  un  argumento. 


Sistemas  de  primer  orden 

Ya  hemos  observado  que  sistemas  deductivos  como  K  son  adecuados  para  fundamentar  el 
mecanismo  de  razonamiento,  pero  insuficientes  cuando  se  quiere  profundizar  en  dominios 
particulares.  Cada  dominio  debe  tener  naturalmente  sus  propios  axiomas  adicionales,  fórmulas 
verdaderas  solo  en  una  cierta  Interpretación. 

En  consecuencia,  se  definen  sistemas  de  primer  orden,  extensiones  de  axiomáticas  como  K 
que  se  obtienen  ampliando  o  modificando  el  conjunto  original  de  axiomas,  de  manera  que  toda 
fórmula  que  se  puede  probar  a  partir  del  esquema  original  se  puede  seguir  probando,  pudiendo 
demostrarse  además  nuevas  fórmulas. 

Describimos  a  continuación  dos  extensiones  del  sistema  axiomático  K  muy  conocidas  y  que 
resultan  de  gran  utilidad:  el  sistema  de  primer  orden  con  igualdad,  y  la  aritmética  de  primer 
orden  (a  la  que  nos  hemos  referido  en  varias  ocasiones). 

Sistemas  de  primer  orden  con  igualdad 

La  relación  de  igualdad  está  presente  en  la  mayoría  de  los  dominios.  En  nuestros  ejemplos 
la  hemos  representado  con  el  símbolo  de  predicado  P2-i,  teniendo  en  cuenta  la  Interpretación 
pretendida.  Es  claro  que  la  fórmula  (Vx)  P2-i  (x,  x)  no  es  válida,  porque  P2-i  admite  otras 
interpretaciones  que  no  la  satisfacen. 

La  manera  de  asegurar  que  el  símbolo  de  predicado  que  representa  la  relación  de  Igualdad 
sea  interpretado  adecuadamente  es  agregando  axiomas  de  igualdad.  Los  describimos  a 
continuación,  denominándolos  E^  E2y  E3: 

•  E-i  :  P2!  (x,  x) 

•  E2  :  P2!  (tk,  u)  -»  P2-,  (f  n¡  (t^  ...,  tk,  ...,  tn),  fn¡  (L,  ...,  u,  ...,  tn)),  siendo  U,  ...,  tk, 
términos  cualesquiera,  y  f  n¡  cualquier  símbolo  de  función. 

•  E3  :  P2!  (tk,  u)  ->  (P  n¡  (t-, ,  ...,  tk,  ...,  tn)  -»  P  n¡  (t-i,  ...,  u,  ...,  tn)),  siendo  U,  ...,  tk, 
términos  cualesquiera,  y  P  n¡  cualquier  símbolo  de  predicado. 

Toda  extensión  del  sistema  axiomático  K  que  incluye  los  axiomas  de  Igualdad  se  conoce 
como  sistema  de  primer  orden  con  igualdad.  A  su  vez,  los  modelos  en  los  que  el  símbolo  de 
predicado  P2-i  se  interpreta  como  la  relación  de  Igualdad  se  denominan  modelos  normales. 

Aritmética  de  primer  orden 

Se  conoce  como  aritmética  de  primer  orden  al  sistema  de  primer  orden  que  se  obtiene  como 
extensión  de  la  axiomática  K,  añadiendo  los  tres  axiomas  de  Igualdad  y  axiomas  propios  de  la 


...,  tn  y  u 
...,  tn  y  u 
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aritmética,  estos  últimos  basados  en  los  postulados  que  formuló  el  matemático  G.  Peano  en  el 
siglo  XIX  para  definir  a  los  números  naturales.  El  lenguaje  se  denota  con  LN.  Para  facilitar  la 
enunciación  de  los  axiomas  vamos  a  usar  directamente  los  símbolos  0,  ,  para  el  cero,  la 

suma  y  la  multiplicación,  respectivamente,  el  símbolo  f  para  la  función  sucesor,  y  en  todos  los 
casos  la  notación  infija  en  lugar  de  la  prefija.  Los  axiomas  propios  de  la  aritmética  son: 


.  N-i  :  (Vx)  (f(x)  =  0) 

•  N2 :  (Vx)(Vy)(f(x)  =  f(y)  ->  x  =  y) 

•  N3 :  (Vx)(x  +  0  =  x) 

•  N4 :  (Vx)(Vy)(x  +  f(y)  =  f(x  +  y)) 

.  N5 :  (Vx)  (x  .  0  =  0) 

•  N6 :  (Vx)(Vy)(x  .  f(y)  =  x  .  y  +  x) 

.  N7 :  P(0)  ->  ((Vx)(P(x)  -+  P(f(x)))  -+  (Vx) 


1er  axioma  del  sucesor 
2do  axioma  del  sucesor 
1er  axioma  de  la  suma 
2do  axioma  de  la  suma 
1  er  axioma  de  la  multiplicación 
2do  axioma  de  la  multiplicación 
i,  para  toda  fórmula  P(x)  en  que  ocurre  libre  x 
axioma  de  inducción  matemática 


El  axioma  N7se  basa  en  el  postulado  de  Peano  que  establece  que  para  todo  conjunto  A  de 
números  naturales,  si  0  e  A  y  si  f(n)  e  A  siempre  que  n  e  A,  entonces  A  contiene  a  todos  los 
números  naturales.  Como  el  lenguaje  LN  es  de  primer  orden,  el  axioma  N7  no  puede 
representar  adecuadamente  la  expresión  “para  todo  conjunto  A  de  números  naturales”,  porque 
necesitaría  un  cuantificador  de  segundo  orden.  De  esta  manera  cada  caso  particular  del 
axioma  N7  corresponde  al  postulado  de  Peano  para  un  cierto  conjunto  particular.  Más  aún,  el 
postulado  se  formula  sobre  un  conjunto  no  numerable  (conjuntos  de  números  naturales), 
mientras  que  el  axioma  se  refiere  solo  a  una  cantidad  numerable  de  conjuntos. 

Los  símbolos  del  lenguaje  LN  se  pueden  interpretar  de  la  manera  habitual  (modelo 
estándar),  o  de  otras  maneras.  Se  demuestra  que  existen  otros  infinitos  modelos  (no  estándar 
o  i nlntenclonales ).  Justamente,  los  postulados  de  Peano  definen  una  noción  más  amplia  de 
sucesión  matemática  que  la  concebida  originalmente. 

A  diferencia  de  la  lógica  de  predicados  de  primer  orden,  la  aritmética  de  primer  orden  es 
incompleta,  lo  que  también  demostró  Gódel  (1931).  En  el  último  capítulo,  fundamentalmente  en 
sus  últimas  notas,  se  profundiza  sobre  este  tópico,  y  en  general  sobre  la  sensatez,  completitud 
y  decidibilidad  de  los  sistemas  axiomáticos. 

Completamos  la  sección  con  un  ejemplo  de  prueba  en  la  aritmética  de  primer  orden.  Vamos 
a  probar:  1  +  1=2.  Por  lo  tanto  tendremos  en  cuenta  los  axiomas  K-i  a  K6,  E-i  a  E3y  Ni  a  N7,  y 
las  reglas  MP  y  Generalización.  En  algunos  casos  abreviamos  el  término  f(0)  con  1: 


1 .  (Vx)(x  +  0  =  x)  axioma  N3 

2.  (Vx)(x  +  0  =  x)  ->1+0  =  1  axioma  K5 

3.  1+0=1  MP  entre  1  y  2 

4.  (Vx)(Vy)(x  +  f(y)  =  f(x  +  y))  axioma  N4 

5.  (Vx)(Vy)(x  +  f(y)  =  f(x  +  y))  -+•  (Vy)(1  +  f(y)  =  f(1  +  y))  axioma  K5 
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6. 

(Vy)(1  +  f(y)  =  f(l  +  y)) 

MP  entre  4  y  5 

7. 

(Vy)(1  +  f(y)  =  f(1  +  y))  ->  1  +  f(0)  =  f(1  +  0) 

axioma  K5 

8. 

1  +  f(0)  =  f(1  +  0) 

MP  entre  6  y  7 

9. 

X  =  y  ->  f(x)  =  f(y) 

axioma  E2 

10. 

1  +  0  =  1  ->f(1  +0)  =  f(1) 

se  deriva  de  9 

11. 

f(1  +0)  =  f(1) 

MP  entre  3  y  10 

12. 

(Vx)(Vy)(Vz)(x  =  y  ->  (y  =  z  ->  x  =  z)) 

teorema 

13. 

1  +  f(0)  =  f(1  +  0)  ->  (f(1  +  0)  =  f(1)  ->  1  +  f(0)  =  f(1)) 

se  deriva  de  12 

14. 

f(1  +  0)  =  f(1 )  — >  1  +f(0)  =  f(1) 

MP  entre  8  y  13 

15. 

1  +f(0)  =  f(1) 

MP  entre  11  y  14 

Como  f(0)  se  abrevia  con  1  y  f(1)  con  2,  llegamos  a  1  +  1  =  2.  El  teorema  referido  en  el  paso 
12  se  prueba  empleando  los  axiomas  de  igualdad.  Su  demostración,  como  así  también  las 
derivaciones  mencionadas  en  los  pasos  10  y  13,  quedan  como  ejercicio  para  el  lector. 

Ejercicios 

1.  Expresar  en  un  lenguaje  de  primer  orden  el  conocimiento  asociado  a  las  siguientes 

situaciones: 

I.  Todo  peluquero  afeita  a  todo  aquél  que  no  se  afeita  a  sí  mismo.  Ningún  peluquero 
afeita  a  alguien  que  se  afeite  a  sí  mismo. 

Con  el  conocimiento  disponible,  ¿se  puede  deducir  que  los  peluqueros  no  existen? 

¡I.  Ningún  dragón  que  viva  en  un  zoológico  es  feliz.  Cualquier  animal  que  encuentre  gente 
amable  es  feliz.  Las  personas  que  visitan  los  zoológicos  son  amables.  Los  animales 
que  viven  en  zoológicos  encuentran  personas  que  visitan  zoológicos. 

Encontrar  suposiciones  adicionales  que  permitan  concluir  que  ningún  dragón  vive  en 
un  zoológico. 

iii.  SI  alguien  hace  algo  bueno,  ese  alguien  es  bueno.  Del  mismo  modo,  si  alguien  hace 
algo  malo,  es  malo.  Sebastián  ayuda  a  su  madre  y  también  miente  algunas  veces. 
Mentir  es  malo  y  ayudar  es  bueno. 

Determinar  si  con  el  conocimiento  disponible  es  posible  deducir  que  Sebastián  es 
bueno.  ¿Y  es  posible  deducir  que  es  malo? 

iv.  El  Capitán  Wlne  era  responsable  de  la  seguridad  de  sus  pasajeros  y  su  carga.  Pero  en  su 
último  viaje,  se  emborrachaba  todas  las  noches  y  fue  responsable  de  la  pérdida  del  barco, 
con  todo  lo  que  llevaba.  Se  rumoreaba  que  estaba  loco,  pero  los  médicos  lo  encontraron 
responsable  de  sus  actos.  Usualmente,  el  capitán  Wine  no  actuaba  borracho.  Durante 
aquel  viaje,  el  capitán  Wine  se  comportó  muy  irresponsablemente.  El  capitán  Wine  sostuvo 
que  las  tormentas  fueron  las  responsables  de  la  pérdida  del  barco,  pero  en  el  proceso  que 
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se  le  siguió  fue  encontrado  responsable  de  la  pérdida  de  vidas  y  bienes.  Todavía  vive,  y  es 
responsable  de  la  muerte  de  muchas  mujeres  y  niños. 

Con  la  información  disponible,  ¿es  posible  deducir  que  no  siempre  el  capitán  Wine 
se  comportaba  en  forma  responsable  en  las  tormentas?  Identificar  los  distintos 
significados  de  responsabilidad  con  diferentes  predicados. 

2.  Dar  interpretaciones  para  los  siguientes  lenguajes  de  primer  orden,  y  traducir  en  cada  caso 
las  fórmulas  presentadas  a  oraciones  apropiadas  en  lenguaje  natural. 

i.  V(x)V(y)(A2-i  (x,  y)  -»  A2-,  (y,  x)) 

V(x)  A2 -i  (y,  x)) 

V(x)V(y)V(z)(A21  (x,  y)  a  A2 -i  (y,  z)  -»  A2-,  (x,  z)) 

ii.  V(x)(A2!  (x,  c)  -»  A2-,  (x,  f(y))) 

V(x)  -i  A2!  (x,  x) 

V(x)V(y)  A2-i  (x,  y) 

3.  Determinar  si  las  siguientes  fórmulas  escritas  en  algún  lenguaje  de  primer  orden  son 
contradictorias,  satisfactibles  en  alguna  interpretación,  verdaderas  en  alguna  interpretación 
o  lógicamente  válidas.  Fundamentar. 

i.  (3x)(— i  A\  (x)  v  (Vx)(A11  (x)  v  B\  (x))) 

ii.  (3y)(3x)(A21  (x,  y)  ->  (3x)(3y)  A2,  (x,  y)) 

4.  Probar  a  partir  de  los  axiomas  de  igualdad: 

i.  V(x)  P2!  (x,  x) 

ii.  (Vx)(Vy)(P2i  (x,  y)  ->  P21  (y,  x)) 

iii.  (VxXVyXVzXP2!  (x,  y)  ->  (P2,  (y,  z)  ->  (P\  (x,  z))) 

5.  Completar  la  prueba  de  la  fórmula  1  +  1=2  desarrollada  parcialmente  en  la  sección 
dedicada  a  la  aritmética  de  primer  orden. 
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CAPÍTULO  3 
Lógica  modal 

Clara  Smith 


Conceptos  básicos 

La  lógica  modal  fue  en  sus  orígenes  (atribuidos  a  Aristóteles  por  la  mayoría  de  los 
estudiosos)  la  lógica  de  lo  necesario  y  lo  posible.  Más  modernamente  se  la  usó  en  el  estudio  de 
construcciones  lingüísticas  que  califican  las  condiciones  de  validez  de  las  proposiciones. 
Actualmente  la  lógica  modal  se  aplica  en  el  área  de  la  informática  para  formalizar  esquemas  de 
razonamiento  y  sistemas  donde  intervienen  múltiples  agentes.  La  lógica  modal  en  su  versión 
proposicional  es  una  extensión  de  la  lógica  preposicional,  que  también  puede  verse  como  un 
fragmento  de  la  lógica  de  predicados  con  buenas  propiedades  computaclonales,  como  la 
decidibilidad. 

Una  modalidad  es  una  palabra  o  frase  que  puede  aplicarse  a  una  proposición  A  para  crear 
una  nueva  proposición  que  hace  una  afirmación  acerca  del  modo  de  verdad  de  A  o  de  las 
circunstancias  bajo  las  cuales  A  es  verdadera:  cuándo,  dónde  o  cómo  A  es  verdadera. 
Ejemplos  son:  “en  el  futuro  sucederá  A'  (FA),  “está  permitido  A’  (P A),  “el  agente  sabe  A”  (K A), 
“es  necesario  A”  (c¡A),  “alguna  ejecución  finita  del  programa  %  deja  al  sistema  en  un  estado  con 
información  A'  (<n>A),  “es  demostrable  A’,  entre  muchas  otras. 

Lenguaje  modal.  Usamos  un  lenguaje  preposicional  clásico  para  trabajar.  El  lenguaje 
modal  básico  se  funda  sobre  un  conjunto  numerable  Pde  proposiciones  usualmente  denotadas 
con  las  letras  p,  q,  r,...  Expresiones  complejas  se  forman  sintácticamente  del  modo  inductivo 
usual,  usando  (posiblemente)  el  operador  1  (la  constante  false),  el  operador  binario  v 
(disyunción),  y  el  operador  uñarlo  -*  (negación).  Como  el  comportamiento  preposicional  de  esta 
lógica  es  clásico,  asumimos  que  T  (la  constante  true),  a  (conjunción),  y  (condicional)  se 
definen  del  modo  esperado  a  partir  de  los  símbolos  ya  provistos.  A  este  lenguaje  proposicional 
básico  le  agregamos  un  operador  unario,  que  simbolizamos  “0”  y  llamamos  coloquialmente 
“diamante”  o  “rombo”.  Con  “0”  modalizamos  las  expresiones,  decimos  algo  de  ellas 
colocándoles  un  símbolo  delante:  Op. 
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Definición  3.1.  Lenguaje.  Las  fórmulas  bien  formadas  (fórmulas)  del  lenguaje  modal  básico 
L  se  definen  a  partir  de  un  conjunto  de  variables  preposicionales  P  =  {p,  q,  r...},  con  los 
operadores  booleanos  usuales,  y  con  un  operador  unario  0,  del  siguiente  modo: 

p\q  \  ...\  ±  \  ~>A  \  Av  <B  \  0  JL 

con  A  y  $  fórmulas  construidas  del  modo  inductivo  usual. 

Agregamos  el  símbolo  para  usarlo  como  una  abreviatura.  La  relación  entre  0  y  □  es 
dual',  ap  =  — ,0— ip  (el  símbolo  “=”  representa  equivalencia  lógica,  lo  mismo  que  “o-”). 
Tradiclonalmente,  □  se  lee  “es  necesario”  y  0  se  lee  “es  posible”.  Coloqulalmente  también 
llamamos  “cuadrado”  al 

Ejemplos  de  expresiones  modales: 

p  -»  q  si  nos  haces  falta  entonces  te  llamamos 

p  ^  Oq  si  nos  haces  falta  entonces  es  posible  que  te  llamemos 

p  ^  q  si  queremos  aprender  entonces  estudiamos 

p  ->  Dq  si  queremos  aprender  entonces  es  necesario  que  estudiemos 

Las  lecturas  de  los  símbolos  □  y  0,  y  también  de  otros  símbolos  modales,  son  muchas; 
diferentes  lecturas  de  dichos  símbolos  ejercieron  variada  influencia  a  lo  largo  de  los  años  en 
diferentes  disciplinas,  especialmente  en  la  filosofía:  se  considera  a  la  lógica  modal  como  la 
herramienta  por  excelencia  de  la  lógica  filosófica,  dando  a  los  que  la  usan  exquisitez  y 
precisión  para  tratar  con  cuestiones  metafísicas  tales  como  la  moral,  para  tratar  con  el  tiempo, 
el  espacio,  el  conocimiento,  las  obligaciones,  etc.  Algunos  otros  símbolos  modales  son,  por 
citar  algunos,  O,  F  y  P  (por  “obligatorio”,  “prohibido”  y  “está  permitido”)  en  la  lógica  deóntlca,  F  y 
P  (por  “en  el  futuro  sucederá  que”  y  “en  el  pasado  sucedió  que”)  en  la  lógica  temporal,  K  (por 
“el  agente  sabe  que”)  en  la  lógica  epistémlca,  <ji>  y  [ji]  (por  “alguna  ejecución  finita  del 
programa  n”  y  “toda  ejecución  finita  del  programa  n”)  en  la  lógica  dinámica. 


Ejemplos  de  expresiones  de  distintas  lógicas  modales: 


F(P) 

prohibido  pisar  el  césped 

lógica  deóntica 

P(  P) 

en  el  pasado  pisé  el  césped 

lógica  temporal 

<7i>q 

alguna  ejecución  de  n  arroja  información  q 

lógica  dinámica 

Las  interpretaciones  y  usos  actuales  de  la  lógica  modal  caen  dentro  de  dos  grandes  áreas: 
la  de  la  Información  y  la  de  la  acción. 

Nota.  Los  principios  generales.  Pareciera  que  un  principio  general  de  la  lógica  modal  es 
□p  Op,  cuya  lectura  Intuitiva  es  “lo  que  es  necesario,  es  posible”.  Sin  embargo,  a  pesar  de 
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que  dicha  fórmula  luce  consistente  desde  el  sentido  común,  no  es  un  principio  rector  de  la 
lógica  modal  (lo  justificamos  más  adelante,  al  manejar  el  aparato  formal).  Considerar  como 
principios  generales  de  la  lógica  modal  a  diferentes  fórmulas  es  difícil  de  decidir.  También  es 
difícil  determinar  qué  fórmulas  merecen  ser  consideradas  principios  de  una  lógica  modal  de 
propósito  determinado  como  lo  es  la  lógica  modal  temporal,  que  es  una  lógica  modal  para 
representar  el  tiempo,  o  la  lógica  deóntica,  que  es  una  lógica  modal  para  formalizar  normas. 

Discusión.  En  la  lógica  eplstémlca,  que  se  ocupa  de  precisar  aspectos  referidos  al 
conocimiento,  usamos  Kp  para  simbolizar  “el  agente  sabe  p”.  Las  fórmulas  Kp  ->  P,  P  ->  Kp,  y 
Kp  ->■  KKp,  ¿podrían  ser  consideradas  principios  rectores  de  la  lógica  epistémica?  ¿Cuál  es  la 
lectura  intuitiva  de  cada  una  de  ellas? 

De  aquí  al  final  del  capítulo  nos  concentramos  en  lenguajes  modales  con  una,  o  a  lo  sumo 
dos  modalidades,  con  o  sin  sus  duales,  y  de  aridad  1  (la  aridad  de  un  operador  es  la  cantidad 
de  argumentos  para  que  el  operador  pueda  funcionar).  Pero  no  siempre  debemos  restringirnos 
así;  existen  lógicas  modales  con  infinitos  operadores  (la  lógica  dinámica,  por  ejemplo),  y 
lógicas  modales  con  operadores  de  aridad  mayor  a  1. 

Usamos  también  el  concepto  usual  de  sustitución  uniforme,  que  permite  reemplazar  en  una 
fórmula  todas  las  apariciones  de  una  subfórmula  por  otra.  Entonces,  por  ejemplo,  dada  la 
fórmula  p  a  q  a  r,  y  dada  la  sustitución  a  ={p/(p  a  aq),  q/(00q  v  r)}  tenemos  que  [p  a  q  a  r]a  = 
(P  a  aq)  a  (00q  v  r)  a  r. 

Semántica.  Asociado  a  un  lenguaje  modal  hay  estructuras  matemáticas  en  las  que 
definimos  las  nociones  de  consecuencia  lógica  y  verdad.  Pasamos  entonces  a  ver  estas 
estructuras:  frame  y  modelo. 

Un  frame  es  una  dupla  <F=  (W,R)  tal  que  W  es  un  conjunto  no  vacío  llamado  universo  (o 
dominio)  de  T,  y  R  es  una  relación  binaria  sobre  W.  Los  elementos  en  W  se  llaman  puntos, 
situaciones,  estados,  o  mundos,  y  a  R  se  la  denomina  relación  de  accesibilidad  entre  mundos. 
Por  ejemplo,  el  frame  formado  por  los  números  naturales  con  la  relación  “<”,  (N ,<),  es  un 
frame  usual  de  la  lógica  temporal  en  el  que  podemos  interpretar  a  cada  mundo  como  un  día,  o 
una  hora,  o  una  semana.  El  frame  formado  por  los  números  reales  con  la  relación  “<”,  íF=  (R,<) 
es  también  un  frame  usual  para  interpretar  el  tiempo  y  nos  permite  considerar  al  tiempo  como 
denso :  si  cada  mundo  se  corresponde  con  un  número  real  que  representa  un  instante  de 
tiempo,  entonces  es  posible  identificar  otro  instante  de  tiempo  entre  cada  par  de  instantes. 
Notar  que  en  estos  frames  asumimos  que  tanto  el  pasado  como  el  futuro  son  una  línea 
temporal,  pero  tengamos  en  cuenta  que  existen  concepciones  del  tiempo  no  determinísticas, 
donde  el  futuro  y/o  el  pasado  tienen  una  estructura  de  árbol. 

Dado  un  lenguaje  modal,  un  modelo  es  un  par  5W  =  (f’.V)  donde  <F  -  (W,R)  es  un  frame  y 
V:  P  <p(W)  es  una  función  de  valuación  que  asigna  a  cada  proposición  p  del  lenguaje  un 
subconjunto  V(p)  de  W.  Intuitivamente,  V(p)  es  el  conjunto  de  mundos  en  los  que  vale  p.  Los 
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modelos,  así  presentados,  son  trames  a  los  que  les  agregamos  una  función  de  valuación.  A 
estos  modelos  se  los  llama  modelos  de  Krlpke. 

Así  como  evaluamos  fórmulas  de  la  lógica  proposicional  en  el  conjunto  de  valores  de  verdad 
booleanos  representado  por  las  constantes  en  el  conjunto  { true ,  false},  y  así  como  evaluamos 
fórmulas  de  la  lógica  de  predicados  en  una  estructura  que  llamamos  interpretación  (que  por 
definición  consta  de  un  conjunto  no  vacío  de  elementos  llamado  dominio,  una  colección  de 
elementos  distinguidos  llamados  constantes,  una  colección  de  fundones  sobre  elementos  del 
dominio  y  una  colección  de  relaciones  sobre  elementos  del  dominio),  en  la  lógica  modal 
evaluamos  fórmulas  en  modelos  (y  también  en  trames).  Más  adelante  en  este  capítulo  veremos 
que  las  estructuras  de  las  interpretaciones  de  la  lógica  de  predicados  y  las  estructuras  de  los 
trames  y  modelos  de  la  lógica  modal  guardan,  en  realidad,  una  muy  estrecha  relación  entre  sí. 

Clásicamente  tenemos  la  siguiente  definición  inductiva  de  cuándo  una  fórmula  es  verdadera 
en  un  modelo  sw  =  (í’.V)  en  un  mundo  w.  Recordemos  que  A  |=  ©  se  lee  coloquialmente  “de  A 
se  deduce  ®”,  o  “©  es  consecuencia  lógica  de  A"-  En  la  definición  que  sigue,  M,w  \=  A  se  lee 
coloqulalmente  “yies  localmente  verdadera  en  un  mundo  wen  un  modelo  M". 


Definición  3.2.  Verdad  local.  Sea  peP,  sean  A,  ©  e  L\ 

M,w  \=  p  si  y  solo  si  w  £  V(p) 

Nunca  sucede  que  ím,w  |=± 

M,w  \=^A  si  y  solo  si  no  sucede  que  M,w  j=  A 

M,w  f=  A  v  ©  si  y  solo  si  5Ví,w  \=  A  o  9vL,w  \=  © 

9á,\n  | =0a  si  y  solo  si  existe  un  mundo  v tal  que  Rwv  y  M,v  \=  a 


Algunos  comentarios,  i)  La  segunda  condición  en  la  definición  3.2  establece  que  en  un 
mundo  cualquiera  no  puede  valer  una  contradicción  (que  es  distinto  a  que  una  propiedad  p 
valga  o  no  valga  en  un  mundo  cualquiera);  ello  tiene  sentido  pues  es  de  esperar  que  las 
contradicciones  no  valgan  nunca  en  ninguna  parte,  ii)  La  idea  de  “posibilidad”  surge 
naturalmente  cuando  notamos  que  para  que  una  fórmula  0 A  sea  verdadera  en  w  se  requiere 
que  A  sea  verdadera  en  algún  mundo  v  R-accesible  desde  w.  iii)  Dado  que  consideramos  al 
símbolo  □  una  abreviatura  de  “ — ,0 — i”,  de  la  última  condición  en  la  definición  3.2  surge  que 
!M,w  [=  □  A  si  y  solo  si  para  todo  mundo  v  tal  que  R wv  sucede  que  9d,v  |=  A ■  ¡v)  Finalmente, 
notemos  que  la  noción  de  verdad  dada  es  “local”  a  un  mundo  w  de  un  modelo  M  para  un  frame 
©.  Esta  definición  puede  asimilarse  al  concepto  de  satisfactibilidad  que  conocemos  de  la  lógica 
proposicional  y  la  lógica  de  predicados. 

Ejemplo.  En  el  siguiente  frame  la  proposición  p  es  localmente  verdadera  en  el  mundo  2,  es 
falsa  en  los  mundos  3  y  4,  y  la  proposición  Op  es  localmente  verdadera  en  1. 
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p 

- ► - ► - ► 

12  3  4 

Nota.  El  frame  bidireccional  para  la  lógica  temporal.  Definimos  la  estructura  de  un  modelo 
básico  para  la  lógica  temporal  M=  (T,R,V),  y  la  semántica  de  sus  operadores  Fy  Pcomo: 

3W,f  \=  Fjl  si  y  solo  existe  un  mundo  s  tal  que  Rfs  y  M,s  \=  A,  y  con 

M,t  | =  Pa  si  y  solo  existe  un  mundo  s  tal  que  Rsf  y  5W,s  (=  A- 

Esta  definición  respeta  la  definición  3.2;  a  su  vez,  notemos  cómo  el  operador  F  va  “hacia 
adelante”  en  R  y  el  operador  P  va  “hacia  atrás”  en  R,  logrando  el  movimiento  intuitivo 
pretendido  en  la  línea  del  tiempo. 

Nota.  Evaluación  de  fórmulas.  Sea  <F  =  (W,R)  un  frame  y  sea  w  e  W  un  mundo  en  un 
modelo  jw  =  ('F.V).  Extendemos  naturalmente  la  función  de  valuación  V,  en  el  sentido  inductivo 
usual,  para  evaluar  fórmulas:  V(yi)  =  jw  /  m,w  1=  A}- 

En  el  gráfico  previo,  la  proposición  p  v  q  es  localmente  verdadera  en  el  mundo  2,  y  la 
proposición  np  a  Op  es  localmente  verdadera  en  el  mundo  1 . 

Además  de  querer  saber  si  una  fórmula  es  localmente  verdadera  o  no,  podemos  querer 
saber  si  una  fórmula  es  globalmente  verdadera,  esto  es,  si  es  verdadera  en  todos  los  mundos 
de  un  modelo  dado.  O  si  no  lo  es,  claro. 

Definición  3.3.  Verdad  global.  Sea  A  una  fórmula,  sea  m  =  (f,V)  un  modelo.  A  es 
globalmente  verdadera  en  9d,  escribimos  m\=  A,  si  A  es  localmente  verdadera  en  todos  los 
mundos  de  W  en  tM. 

En  el  gráfico  del  ejemplo  previo  es  fácil  ver  que  la  fórmula  -.q  es  globalmente  verdadera  en 
el  modelo. 

Sabemos  que  si  a  un  frame  le  agregamos  información  contingente  (una  valuación)  tenemos 
un  modelo.  Pero  podemos  querer  Ignorar  la  información  contingente  (la  que  nos  dice  qué 
fórmula  vale  en  qué  mundo)  y  averiguar  qué  fórmulas  son  verdaderas  con  respecto  a  la 
estructura  del  frame.  Esto  es,  podemos  “olvidarnos”  de  la  información  contingente  -de  todos 
los  modelos  que  existen  para  un  frame-  y  averiguar  qué  información  es  verdadera  respecto  de 
la  estructura  del  frame.  Esta  es  una  noción  de  verdad,  si  se  quiere,  “más  fuerte”  pues  se  enfoca 
en  la  estructura  (más  “sólida”,  “estática”,  o  “fija”)  y  no  en  las  valuaciones  (más  “dinámicas”,  o 
“volátiles”  que  pueden  suceder  o  no  suceder): 
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Definición  3.4.  Validez.  Sean  ja  una  fórmula,  <F=  (W,R)  un  frame,  w  e  W  un  mundo: 

a)  ja  es  válida  en  un  mundo  w  en  un  frame  r  ( <f,w  |=  ja)  si  M,w\=  ja  para  todo  modelo 

JW  =  (<F,V);  es  decir,  cuando  ja  es  localmente  verdadera  en  w  para  cualquier  modelo 

JM  “basado”  en  <F. 

b)  ja  es  válida  en  un  frame  ja)  si  ja  es  válida  en  todo  mundo  w  en  r-  (W,R). 

c)  ja  es  válida  en  una  clase  de  trames  F  (F  (=  ja)  si  ja  es  válida  en  todo  frame  <F  e  F. 

d)  ja  es  válida  ( \=  A)  si  ja  es  válida  en  F,  la  clase  de  todos  los  trames. 


Ejemplo.  La  fórmula  OOp  Op  es  válida  en  la  clase  de  los  trames  transitivos.  Para 
comprobar  esta  afirmación,  sea  r-  (W,R)  un  frame  transitivo  cualquiera  (esto  es,  <F  verifica  la 
propiedad  Vxyz  (Rxy  a  Ryz)  (Rxz),  con  x,  y,  z  e  W),  y  sea  w  cualquier  mundo  de  W.  Si 
sucede  que  OOp  es  verdadera  en  w  entonces  existe  un  v  tal  que  Rwv  y  <Fy  (=  Op;  y  si  esto 
ocurre  entonces  existe  un  u  tal  que  Rvu  y  <F,u  |=  p.  Como  fes  transitivo  tenemos  que  vale 
R wu,  con  lo  que  <F,w  [=  Op.  Por  lo  tanto  la  fórmula  OOp  Op  es  válida  en  cualquier  w  en 
cualquier  í7  transitivo  y,  por  definición,  es  válida  en  la  clase  de  los  trames  transitivos. 

Discusión.  ¿Cuáles  son  las  fórmulas  a  las  que  hace  referencia  la  definición  3.4.d? 

Recordemos  que,  si  bien  desde  un  punto  de  vista  filosófico  podemos  decir  que  existe  una 
única  “noción  de  verdad”  que  todos  aspiramos  a  conocer,  cuando  manipulamos  un  sistema 
formal  como  la  lógica  modal  -que  intenta  capturar  y  usar  la  noción  de  verdad  (y  la  de 
falsedad)-  solo  podemos  acercarnos  a  ésta  a  través  de  las  herramientas  que  el  propio  sistema 
formal  nos  provee.  Con  lo  cual  el  camino  hacia  la  verdad  siempre  se  nos  presenta  relativo  a  la 
herramienta  que  usamos  para  llegar  a  ella,  y  por  lo  tanto,  la  noción  de  verdad  se  vuelve  de 
algún  modo  relativa  al  sistema  formal  que  usamos.  Para  ilustrar  este  punto,  pensemos  en  que 
la  lógica  proposlclonal  maneja  los  conceptos  de  verdad  y  falsedad  de  un  modo  simple  y  llano 
armando  las  tablas  de  verdad  de  acuerdo  a  las  funciones  de  verdad  de  los  conectivos.  Luego, 
cuando  usamos  la  lógica  de  predicados  (que  es  más  rica  que  la  lógica  proposlclonal)  aparecen 
nuevas  estructuras  sobre  las  que  testear  validez  y  con  éstas  aparecen  las  nociones  de  verdad 
en  una  Interpretación  y  validez  lógica  (verdad  en  todas  las  interpretaciones).  Al  trabajar  con  la 
lógica  modal  vemos  que  sucede  lo  mismo:  tenemos  distintas  maneras  de  acceder  al  concepto 
de  verdad,  maneras  sensibles  a  las  estructuras  con  las  que  trabaja  la  lógica  en  cuestión. 

Relaciones  de  consecuencia  lógica.  Tenemos  ya  formada  una  intuición  del  concepto  de 
consecuencia  lógica,  y  es  la  que  dice  que  la  validez  de  las  premisas  garantiza  la  validez  de  la 
conclusión.  Hemos  visto  esta  intuición  formalizada  en  los  capítulos  1  y  2,  al  estudiar  la  lógica 
proposlclonal  y  la  lógica  de  predicados. 

En  la  lógica  modal  las  consecuencias  lógicas  dependerán  de  la  estructura  con  la  que  estemos 
trabajando.  Esto  quiere  decir  que  la  noción  de  consecuencia  lógica  está  parametrizada.  Definimos  a 
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continuación,  semánticamente,  las  nociones  de  consecuencia  local  y  consecuencia  global.  La 
noción  de  consecuencia  local  es  la  noción  de  consecuencia  lógica  que  ya  hemos  manejado  en  la 
lógica  proposicional  y  la  lógica  de  predicados,  trasladada  a  la  lógica  modal. 

Definición  3.5.  Consecuencia  lógica  “local”.  Sea  Z  un  conjunto  de  fórmulas,  sea  y?  una 
fórmula,  sea  S  una  clase  de  estructuras  (modelos,  frames,...).  Decimos  que  A  es  consecuencia 
local  de  I  sobre  S,  Z  ¡=s  A,  si  para  todos  los  modelos  M  de  S  (si  S  son  modelos,  para  ellos 
mismos,  si  S  son  frames,  para  todos  los  modelos  de  ellos)  y  todos  los  mundos  w  de  94,  si 
sucede  que  94., w  [=Z  entonces  94,w\=A- 

Ejemplo.  Es  fácil  ver  que  {00p}  |=Tran  Op,  con  Tran  la  clase  de  los  frames  transitivos.  Pero 
también  es  directo  notar  que  Op  no  es  una  consecuencia  local  de  {00p}  en  la  clase  F  de  todos 
los  frames  (para  comprobarlo,  proveer  un  contramodelo). 

Definición  3.6.  Consecuencia  lógica  “global”.  Sea  Z  un  conjunto  de  fórmulas,  sea  A  una 
fórmula,  sea  S  una  clase  de  estructuras  (modelos,  frames,...).  Decimos  que  A  es  una 
consecuencia  global  de  Z  sobre  S,  Z  (=9S A,  si  para  toda  estructura  S  en  S,  si  S  (=Z  entonces 
S  ¡=A-  Aquí,  dependiendo  del  tipo  de  estructuras  que  contiene  S,  el  símbolo  “  ¡=”  se  interpreta 
como  validez  en  un  frame  (si  S  es  una  clase  de  frames),  verdad  global  (en  un  modelo,  si  S  es 
un  conjunto  de  modelos),  etc. 

Ejemplo.  Vale  {000p->  OOp}  (=9F  00p^  Op;  pero  no  vale  {OOOp^  00p}  (=F  00p^  Op,  siendo 
F  la  clase  de  todos  los  frames. 

¿Por  qué  la  primera  afirmación  es  cierta?  Porque  las  fórmulas  OOOp  OOp  y  OOp  Op  valen 
en  los  frames  transitivos  (probarlo);  por  lo  tanto  vale  la  consecuencia  lógica  global  en  la  clase  F 
de  todos  los  frames  (notar  que  en  aquellos  frames  donde  la  subfórmula  {OOOp^-  OOp}  es  falsa, 
la  afirmación  es  verdadera). 

Ahora  bien,  no  vale  la  afirmación  {OOOp^  OOp}  |=F00p^  Op.  Esto  es,  la  fórmula  00p^  Op  no 
es  consecuencia  lógica  local  de  la  fórmula  OOOp^-  OOp  teniendo  en  cuenta  la  clase  de  todos  los 
frames.  Ello  porque  podemos  construir  el  “contramodelo”  94  con  la  siguiente  estructura  finita: 

P  P 

- o - ► - ► 

W  V  u  s 

y  con  V(p)  =  {u,  s}.  Entonces  tenemos  que:  94,w\=  OOOp,  y  94, w |=  OOp,  y  por  lo  tanto 
94, w  |=  OOOp^-  OOp.  Y  si  bien  94,w\=  OOp,  no  es  cierto  que  94,w\=  Op  (pues,  para  que  ello 
sucediera,  deberíamos  tener  94,v\=  p).  Con  lo  que  no  vale  94,w\=  OOp  Op. 
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Vemos  a  continuación  algunas  definiciones  y  herramientas  sintácticas  que  permiten  manejar 
las  relaciones  semánticas  de  validez  y  consecuencia  lógica  de  un  modo  más  automatizado. 
Esto  es  importante  para  nosotros  como  informáticos. 

Definición  3.7.a.  Lógica  modal.  Una  lógica  modal  A  es  un  conjunto  de  fórmulas  bien 
formadas  que  contiene  todas  las  tautologías  proposlclonales,  es  cerrado  -está  clausurado- 
bajo  modus  poneos  (esto  es,  si  las  fórmulas  p  y  p  ^  q  pertenecen  a  A,  entonces  la  fórmula  q 
también),  y  es  cerrado  bajo  sustitución  uniforme  (si  una  fórmula  jz  pertenece  a  A  entonces 
todas  sus  instancias  de  sustituciones  también). 

Si  una  fórmula  jz  pertenece  a  A  decimos  que  jz  es  teorema  de  A.  Si  Ai  y  A2  son  dos  lógicas 
modales  yA(c  A2 decimos  que  A2es  una  extensión  de  Ai. 

Definición  3.7.b.  Lógica  modal  normal.  Una  lógica  modal  A  es  normal  si  contiene  las 
fórmulas  n(p  q)  (ap  oq)  y  — — ,p  Op,  y  es  cerrada  bajo  generalización  (esto  es,  si  una 
fórmula  jz  pertenece  a  A,  entonces  njz  también). 

Observemos  que  estas  dos  definiciones  son  bien  simples:  identifican  a  una  lógica  como  un 
conjunto  de  fórmulas  que  cumplen  ciertas  condiciones  de  clausura. 

De  la  definición  3.7.a  se  desprende  que  la  lógica  proposlclonal  -tal  como  la  estudiamos  en 
el  primer  capítulo-  está  contenida  en  una  lógica  modal.  De  ambas  definiciones  podemos  Intuir 
que  existen  lógicas  no  normales,  como  veremos  más  adelante.  Dicho  de  modo  simple,  la 
“normalidad”  de  una  lógica  modal  queda  determinada  por  la  propiedad  de  distribución  del 
sobre  el  y  por  la  regla  de  generalización. 

Damos  a  continuación  la  definición  sintáctica  (axiomática)  de  una  lógica  modal. 

Definición  3.8.  Sistema  formal  K  de  la  lógica  modal. 

Lenguaje 

L  (como  en  la  definición  3.1 ). 

Axiomas 

Todas  las  Instancias  de  tautologías  proposlclonales. 

(K)  a(p  — >•  q)  — >•  (np  — »  nq). 

(Dual)  — ,n-,p  Op. 

Reglas  de  inferencia 

Modus  ponens\  a  partir  de  p  y  de  p  ^  q  obtenemos  q. 

Sustitución  uniforme:  a  partir  de  una  fórmula  jz  conseguimos  una  fórmula  ®  sustituyendo 
uniformemente  letras  proposlclonales  en  jz  por  fórmulas  arbitrarias. 

Generalización:  si  tenemos  p  obtenemos  ap. 


62 


Algunos  comentarios  y  observaciones  sobre  ei  sistema  formal  K.  Traigamos  a  este 
punto  la  noción  de  “derivación”  (o  “deducción”  o  “demostración”)  que  ya  conocemos  (lo  hemos 
visto  en  el  estudio  de  la  lógica  proposlclonal  y  la  lógica  de  predicados).  Sabemos  que  una 
derivación  de  A  a  partir  de  un  conjunto  finito  F  de  fórmulas  bien  formadas  es  una  secuencia 
finita  de  fórmulas  bien  formadas  Ai,--,  An  en  la  que  y?n  =  Ay,  para  todo  /',  cada  A¡  de  la 
secuencia  es:  o  una  instancia  de  uno  de  los  esquemas  de  axioma  provistos  por  el  sistema 
formal,  o  es  una  fórmula  en  F,  o  se  obtiene  por  aplicación  de  la  regla  de  modus  ponens  entre 
dos  fórmulas  Aw  y  A¡  que  aparecen  antes  en  la  secuencia  (esto  es,  con  kj  <  /'),  o  se  obtiene  de 
la  aplicación  directa  de  la  regla  de  generalización  sobre  alguna  fórmula  Ak,  con  k  <  i.  Esta  última 
condición  es  la  única  condición  “novedosa”  que  aparece  ahora  para  la  noción  de  derivación 
relativa  a  este  sistema  formal  de  la  lógica  modal.  Cuando  F  es  el  conjunto  vacío,  entonces 
decimos  que  A  es  teorema  de  K.  Para  simbolizar  que  A  es  derivable  a  partir  de  F  en  K 
escribimos  F  | — K  A-  Notemos  que  la  noción  de  derivación  nos  permite  pensar  que  el  sistema 
formal  K  dado  en  la  definición  3.8  induce  una  lógica  modal  en  el  sentido  de  la  definición  3.7.a,  y 
que  el  conjunto  de  las  fórmulas  derlvables  es  una  lógica  en  el  sentido  de  la  definición  3.7.b. 

Otras  observaciones.  El  sistema  modal  K  dado  en  la  definición  3.8  es  el  mínimo  normal, 
esto  es,  es  el  sistema  modal  normal  que  tiene  menos  restricciones.  Vemos  que,  aplicando  la 
regla  de  sustitución,  podemos  construir  nuevas  tautologías  provenientes  de  la  lógica 
proposiclonal  y  que  ahora  contengan  las  modalidades  □  y  0  (por  ejemplo:  -iOp  v  Op).  Es  fácil  ver 
que  estas  tautologías  son  válidas  en  todos  los  frames  (queda  para  el  lector  la  tarea  de 
demostrar  esta  afirmación).  Otras  fórmulas  válidas  en  todos  los  frames  -como  las  que,  por 
ejemplo,  podemos  obtener  a  partir  del  axioma  K  en  un  solo  paso-  no  provienen  por  sustitución 
de  ninguna  tautología  proposicional,  pues  la  lógica  proposicional  carece  del  símbolo  Modus 
ponens  preserva  validez  en  frames,  verdad  global  y  verdad  local  (dejamos  al  lector  estas 
pruebas).  Sustitución  uniforme  no  preserva  ni  verdad  global  ni  satisfactibilidad  en  un  mundo  (q 
se  obtiene  por  sustitución  de  p,  pero  si  p  es  verdad  global  en  un  modelo,  no  necesariamente  lo 
es  q.  Probarlo  construyendo  un  modelo  apropiado). 

Decimos  que  el  axioma  K  permite  realizar  razonamiento  proposicional  tradicional  porque  el 

se  “mete”  dentro  del  paréntesis  y  se  “distribuye”:  entonces  pasamos  de  tener  una  fórmula 
modal  a  tener  un  condicional  entre  dos  subfórmulas  modales.  La  regla  de  generalización 
permite  crear  nuevas  fórmulas  modales  yuxtaponiendo  un  delante  de  una  fórmula 
demostrable.  Con  K  y  generalización  tenemos  entonces,  de  algún  modo,  un  “interjuego”  entre 
dos  contextos:  el  proposiclonal  y  el  modal.  Generalización  preserva  verdad  global  (si  p  vale 
para  todo  mundo  en  un  modelo  entonces  vale  np  porque  en  cada  mundo  vale  p  para  todos  sus 
adyacentes)  pero  no  preserva  satisfactibilidad  (si  p  es  verdadera  en  un  mundo  no  podemos 
afirmar  que  en  el  mundo  vale  ap). 
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Extensiones  de  K.  El  sistema  modal  K  es  un  sistema  formal  mínimo  y  simple.  Dado 
cualquier  conjunto  r  de  fórmulas  modales,  podemos  agregarlas  como  nuevos  axiomas  y  formar 
el  sistema  modal  KF.  Esta  técnica  generadora  de  nuevos  sistemas  formales  es  sintáctica  y  la 
hemos  usado  previamente  para  generar  extensiones. 

Definir  una  lógica  estableciendo  las  fórmulas  que  genera  -esto  es,  agregar  axiomas  que 
para  nosotros  tienen  algún  tipo  de  interés-  es  un  modo  usualmente  aceptado  de  especificar 
lógicas.  Sin  embargo,  pareciera  haber  algo  arbitrario  en  este  proceso  de  definir  lógicas 
“sintácticamente”:  ¿por  qué  agregaríamos  algunas  fórmulas  como  punto  de  partida  de  nuevos 
teoremas,  y  no  otras? 

Es  útil  también  -desde  el  punto  de  vista  formal-  conocer  cuál  es  la  contraparte  semántica 
de  una  lógica. 

En  muchos  casos  es  posible  describir  a  las  extensiones  del  sistema  K  en  términos  de 
validez  en  frames.  Esta  es  una  perspectiva  semántica.  Con  la  siguiente  definición  tenemos 
entonces  una  manera  diferente  de  especificar  una  lógica  modal  a  como  lo  hemos  hecho  en  la 
definición  3.7.a.  Describimos  semánticamente  una  lógica  modal  mediante  la  identificación  de  la 
estructura  de  los  frames  en  los  que  son  válidas  las  fórmulas  de  la  lógica  en  cuestión. 

Definición  3.9.  Lógica  modal  (desde  una  perspectiva  semántica).  Sea  S  una  clase  de 
frames.  Definimos  el  conjunto  de  fórmulas  As  =  {Al  S  ¡=  A,  para  todas  las  estructuras  S  e  S } , 
con  yt  fórmulas  del  lenguaje  modal;  As  es  una  lógica  modal. 

La  relación  entre  el  aspecto  sintáctico  y  el  aspecto  semántico  de  las  lógicas  modales  nos 
lleva  a  considerar  resultados  de  correctitud  (o  sensatez  como  usamos  en  los  capítulos 
anteriores)  y  completitud  de  dichas  lógicas.  Intuitivamente  sabemos  que  la  relación  entre 
sintaxis  y  semántica  debe  ser  tal  que  los  teoremas  que  derivamos  en  la  lógica  son  verdaderos 
y  que  todas  las  fórmulas  verdaderas  tienen  una  derivación  sintáctica  de  la  cual  dicha  fórmula 
es  el  último  paso. 

Existen  teoremas  que  relacionan  a  las  lógicas  modales  descrlptas  axiomáticamente  con  las 
estructuras  de  los  frames  en  los  que  sus  teoremas  son  válidos:  estos  teoremas  a  veces  se 
conocen  como  teoremas  de  determinación. 

Ejemplos.  El  axioma  00p->  Op  identifica  a  la  lógica  modal  cuyas  fórmulas  son  verdaderas  en 
los  frames  transitivos,  tal  como  hemos  visto  en  dos  ejemplos  estudiados  previamente  en  este 
capítulo.  El  axioma  p^  Op  identifica  a  la  lógica  modal  cuyas  fórmulas  son  verdaderas  en  los 
frames  reflexivos.  El  axioma  np->  Op  Identifica  a  las  lógicas  modales  cuyas  fórmulas  son 
verdaderas  en  los  frames  sin  límite  a  derecha  (right-unbounded).  Las  respectivas  extensiones 
del  sistema  K  para  estas  tres  lógicas  se  llaman  K4,  KT,  y  KD.  La  clase  de  frames  cuya  relación 
es  una  relación  de  equivalencia  (esto  es,  verifica  reflexividad,  transitividad  y  simetría)  se 
identifican  con  la  extensión  de  K  conocida  como  S5. 
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A  continuación  damos  las  definiciones  de  correctitud  y  completitud  de  una  lógica  modal. 

Definición  3.10.  Correctitud  (o  sensatez).  Sea  S  una  clase  de  estructuras 
(concentrémonos  en  trames).  Una  lógica  modal  normal  A  es  correcta  (o  sensata)  con  respecto 
aSsIAc  As,  con  As  =  {Al  S  ¡=  A  V  S  e  S}. 

Notemos  que  esta  definición  es  por  inclusión  de  un  conjunto  de  fórmulas  en  otro  conjunto 
(ya  hemos  usado  este  estilo  de  definición  en  la  definición  3.7.a). 

De  modo  equivalente  puede  definirse  que  la  lógica  A  es  correcta  con  respecto  a  S  si  para 
toda  fórmula  A  y  todas  las  estructuras  S  e  S,  | — A  a  implica  S  ¡=  A-  Esto  es,  si  A  es  teorema 
en  A  entonces  es  válida  en  S.  Decimos  entonces  que  S  es  una  clase  de  estructuras  para  A. 

Prueba  de  correctitud.  Para  probar  la  correctltud  de  una  lógica  modal  normal  (presentada 
en  términos  de  axiomas  y  reglas  de  Inferencia)  respecto  de  una  clase  de  frames  debemos 
probar  que  los  axiomas  de  la  lógica  son  válidos  en  la  clase  de  frames  de  que  se  trate  y  que  las 
reglas  de  inferencia  (modus  ponens,  generalización  y  sustitución  uniforme)  preservan  verdad. 

A  continuación  damos  la  definición  de  completitud  “fuerte”  (existe  también  una  definición  de 
completitud  “débil”).  Que  un  sistema  formal  sea  completo,  genéricamente  hablando,  significa 
que  lo  que  es  cierto  en  el  sistema  entonces  es  demostrable  en  el  sistema. 

Definición  3.11.  Completitud  (fuerte).  Sea  S  una  clase  de  frames.  Una  lógica  modal 
normal  A  es  “fuertemente”  completa  con  respecto  a  S  si,  para  cualquier  conjunto  de  fórmulas 
F  u  {A},  si  T  [=s^  entonces  F  | — A  A- 

Teorema  de  completitud  de  K.  El  sistema  formal  K  de  la  lógica  modal  es  fuertemente 
completo  respecto  de  la  clase  de  todos  los  frames. 

Los  teoremas  de  completitud  son,  esencialmente,  teoremas  de  existencia  de  modelos.  Esto  es, 
para  probar  completitud  usualmente  hay  que  probar  que  determinados  modelos  “especiales” 
existen.  Lo  Importante  entonces  es  que  sepamos  cómo  encontrarlos  o  cómo  construirlos. 

Para  demostrar  el  teorema  de  completitud  de  K  necesitamos  conocer  algunas  definiciones  y 
hacer  algunos  comentarlos  previos: 

a)  Un  conjunto  F  de  fórmulas  es  consistente  si,  o  bien  A  o  bien  -,A  no  es  teorema  de  F 
(ambas  no  son  teoremas  a  la  vez  en  F).  Pensemos  que  si  A  y  ->A  son  teoremas  de  F 
entonces  de  F  se  deduce  una  contradicción  {A  a  -,a)  que  podemos  usarla  como  premisa 
para  derivar  todas  las  fórmulas  del  lenguaje.  De  un  conjunto  Inconsistente  pueden 
derivarse  todas  las  fórmulas.  La  consistencia  es  una  característica  Importante  de  los 
conjuntos  de  fórmulas:  poco  Interés  tiene  -tanto  desde  el  punto  de  vista  lógico  como  desde 
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el  punto  de  vista  de  los  sistemas  informáticos-  un  conjunto  de  fórmulas  a  partir  del  cual 
pueden  derivarse  todas  las  demás. 

b)  Un  conjunto  F  de  fórmulas  de  una  lógica  A  es  maximal  A-consistente  si  es  consistente  y 
cualquier  otro  conjunto  A  de  fórmulas  tal  que  FcAes  A-inconsistente. 

c)  La  propiedad  de  compacidad  (por  compactness  en  inglés)  establece  que  un  conjunto  F  de 
fórmulas  de  una  lógica  A  es  A-consistente  si  y  solo  si  todo  subconjunto  finito  de  r  lo  es. 
Daremos  un  esquema  de  la  demostración  de  esta  propiedad  hacia  el  final  de  esta  sección. 

La  técnica  de  prueba  que  se  usa  para  demostrar  el  teorema  de  completitud  de  K  se  conoce 
como  de  completitud  por  canonicidad'.  se  construyen  modelos,  llamados  canónicos,  a  partir  de 
conjuntos  maximales  consistentes. 

Notemos  dos  detalles  relevantes.  Por  un  lado,  todo  mundo  w  en  todo  modelo  ‘M  para  una 
lógica  A  está  asociado  con  el  conjunto  de  fórmulas  {y?  /  tM,w  |=  £},  esto  es,  el  conjunto  de 
fórmulas  que  son  verdaderas  en  w.  Es  fácil  verificar  que  este  conjunto  de  fórmulas  es  maximal 
A-consistente  (es  decir,  si  y?  es  verdadera  en  algún  modelo  para  A  entonces  yf  pertenece  a  un 
conjunto  maximal  A-consistente).  Por  otro  lado,  si  el  mundo  w  está  relacionado  con  otro  mundo 
v  en  un  modelo  M  debe  quedarnos  claro  que  la  información  codificada  en  los  conjuntos 
maximales  A-consistentes  de  w  y  de  v  está  relacionada,  digamos,  “de  algún  modo  coherente”. 
Podemos  entonces  formarnos  la  intuición  de  que  los  modelos  permiten  que  conjuntos 
maximales  consistentes  se  relacionen  coherentemente  entre  sí. 

La  idea  detrás  de  la  construcción  de  modelos  canónicos  es  poner  a  trabajar  estos  dos 
detalles  relevantes  recién  señalados:  partir  de  colecciones  de  conjuntos  maximales 
consistentes  “coherentemente  relacionados”  e  Intentar  obtener  el  modelo  buscado.  El  objetivo 
es  probar  que  la  afirmación  “y?  pertenece  a  un  conjunto  maximal  A-consistente”  es  equivalente 
a  “A  es  verdadera  en  algún  modelo”  (esta  afirmación  es  un  lema  de  verdad).  Se  prueba 
construyendo  un  modelo  especial  -  el  modelo  canónico  -  cuyos  mundos  son  todos  los  conjuntos 
maximales  consistentes  de  la  lógica  A.  Veamos  la  definición  siguiente: 

Definición  3.12.  Modelo  canónico.  El  modelo  canónico  para  una  lógica  modal  normal  A  es 
la  terna  (WA,RA,VA)  con: 

•  WA ,  el  conjunto  de  todos  los  conjuntos  maximales  A-consistentes. 

•  RA  ,  la  relación  canónica  sobre  WA,  definida  como:  RAwv  si  para  toda  fórmula  A,  y?  e  v 
implica  0 y?  e  w. 

•  Va,  la  función  de  valuación  canónica,  definida  como  VA(p)  =  { we  WA/  pew). 

WA  contiene  todos  los  conjuntos  maximales  A-consistentes.  Esto  es  relevante  porque  (por  el 
lema  de  Lindenbaum)  cualquier  conjunto  A-consistente  de  fórmulas  es  un  subconjunto  de  algún 
mundo  de  WA  y  entonces  (por  el  lema  de  verdad)  cualquier  conjunto  A-consistente  de  fórmulas 
es  verdadero  en  algún  mundo  del  modelo. 
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Ra  es  una  relación  de  accesibilidad  entre  conjuntos  maximales  consistentes  basada 
(precisamente)  en  el  concepto  de  consistencia.  Como  los  mundos  en  WA  son  conjuntos 
maximales  consistentes,  si  en  el  mundo  v  adyacente  a  w  la  fórmula  A  no  fuese  cierta  entonces 
en  v  valdría  -¡A  pero  entonces  por  definición  de  RA  en  w  valdría  0-,A,  lo  que  es  absurdo  por  ser 
w  un  conjunto  consistente. 

Finalmente,  la  función  de  valuación  canónica  Va  iguala  la  verdad  de  un  símbolo 
proposiclonal  en  w  con  su  pertenencia  a  w.  Así,  el  modelo  canónico  nos  permite  relacionar 
verdad  con  pertenencia  a  un  conjunto  maximal  consistente. 

Ya  estamos  en  condiciones  de  organizar  un  esquema  de  la  prueba  del  teorema  de 
completltud  fuerte  de  K. 

Orientación  para  la  prueba  del  teorema  de  completitud  fuerte  de  K.  Para  probar  la 
completltud  fuerte  de  K  hay  que  usar  la  noción  de  compacidad.  Tenemos  que  encontrar,  para 
cada  conjunto  r  K-consistente  de  fórmulas,  un  modelo  5W  y  un  mundo  w  en  m  tal  que  M,w  \=  F. 
Elegimos  íw  =  (>fk,Vk),  el  modelo  canónico  para  K,  y  elegimos  que  el  mundo  w  sea  cualquier 
conjunto  maximal  consistente  F+  que  extienda  a  F.  Entonces  (ífk,Vk),  r+  [=  r.  Ciertamente 
podemos  elegir  a  tM-  porque  un  resultado  auxiliar  (y  relevante)  nos  lo  garantiza:  el  lema 

de  Lindenbaum  asegura  que  si  F  es  un  conjunto  A-consistente  de  fórmulas,  entonces  F+  existe. 

Finalmente,  para  terminar  esta  presentación  de  la  noción  de  completltud,  mencionamos  que 
existe  aún  un  resultado  más  poderoso  y  general  llamado  teorema  del  modelo  canónico  que 
afirma  que  toda  lógica  modal  normal  es  fuertemente  completa  respecto  de  su  modelo  canónico. 
Su  demostración  se  apoya  en  el  lema  de  Lindenbaum  y  en  la  técnica  de  armado  de  modelos 
canónicos  vista. 

Computabilidad  y  complejidad  de  las  lógicas  modales.  Para  los  informáticos  es 
importante  conocer  aspectos  de  computabilidad  y  complejidad  de  las  lógicas  modales.  Esto 
significa  conocer  cuántos  recursos  de  tiempo  (pasos  de  computación)  y  de  espacio  (memoria) 
se  necesitan  para  saber  si  una  fórmula  es  satlsfactlble  en  un  modelo  de  una  lógica  dada. 

Decidibilidad.  Sabemos  que  un  conjunto  F  de  fórmulas  es  decidióle  si  existe  un 
procedimiento  (un  método  finito  y  efectivo  de  decisión)  para  determinar  si  cualquier  fórmula  del 
lenguaje  pertenece  a  F. 

Decimos  entonces  que  una  lógica  modal  normal  A  es  decidióle  si  el  problema  de  A- 
satlsfactlbllldad  (determinar  si  una  fórmula  A  es  satlsfactlble  en  algún  modelo  para  A)  es  decidióle. 

Existe  otro  problema  interesante  referido  a  decidibilidad  de  las  lógicas  modales  y  que  se 
basa  en  el  problema  de  A-satisfactibilidad:  es  el  problema  de  A-valldez,  que  consiste  en 
determinar  si  una  fórmula  A  es  válida  en  la  clase  de  modelos  M  que  Identifica  a  la  lógica  A. 
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A  continuación  presentamos  informalmente  el  problema  de  cómo  se  establecen  resultados 
de  A-satisfactibilidad  y  A-validez  para  una  lógica  modal. 

Hemos  visto  que  podemos  tener  una  lógica  modal  especificada  de  manera  puramente 
semántica,  conociendo  la  clase  de  frames  que  la  Identifican.  Y  que  también  podemos  conocerla 
desde  su  aspecto  puramente  sintáctico,  sabiendo  cuáles  son  los  axiomas  y  las  reglas  que 
generan  la  lógica.  También  sabemos  que  la  computación  trata  la  manipulación  finita  de 
estructuras  finitas. 

Sin  importarnos  si  la  lógica  se  nos  presenta  desde  su  aspecto  sintáctico  o  desde  su  aspecto 
semántico,  debemos  poder  determinar  si  es  decidible  o  no.  Un  instrumento  para  demostrar  la 
decidibilidad  de  una  lógica  es  el  siguiente: 

Propiedad  de  modelo  finito  (f.m.p.  por  finite  model  property  en  inglés).  Sea  A  una 

lógica,  y  M  una  clase  de  modelos  para  A.  Decimos  que  A  tiene  la  propiedad  de  modelo  finito 
con  respecto  a  M  si  dada  una  fórmula  A  de  A  que  es  satlsfactlble  en  algún  modelo  en  M 
entonces  A  es  satlsfactlble  en  un  modelo  finito  en  M.  Un  modelo  es  finito  si  su  conjunto  de 
mundos  W  tiene  una  cantidad  finita  de  elementos,  si  no  el  modelo  es  infinito. 

La  f.m.p.  es  interesante  para  nosotros  como  informáticos  porque  es  una  fuente  de  robustez 
computacional  de  la  lógica  modal:  no  tenemos  que  preocuparnos  por  un  modelo  infinito  porque 
si  vale  la  f.m.p.  para  la  lógica  en  cuestión  entonces  siempre  podemos  encontrar  otro  modelo 
finito  que  es,  de  algún  modo,  “equivalente”  al  infinito.  No  entraremos  en  detalles  de  las  técnicas 
de  obtención  de  modelos  finitos,  pero  informalmente  mencionaremos  dos:  selección  y  filtrado. 
La  primera  elige  cuidadosamente  un  submodelo  finito  del  modelo  infinito  (por  ejemplo, 
eliminando  mundos  que  son  redundantes).  La  segunda  encuentra  una  estructura  finita  que  se 
corresponde  con  el  modelo  infinito  de  modo  que  la  estructura  infinita  puede  mapearse  en  la 
estructura  finita. 

Discusión  informal  de  decidibilidad  para  lógicas  especificadas  semánticamente. 

Supongamos  que  tenemos  la  lógica  A  especificada  semánticamente.  Supongamos  también 
que  sabemos  (o  probamos)  que  A  verifica  una  forma  “fuerte”  de  f.m.p.,  esto  es:  no  solo  verifica 
la  f.m.p.  respecto  de  alguna  clase  de  modelos  sino  que  además,  para  cualquier  fórmula  A 
existe  una  función  computable  f  tal  que  f(\A\)  es  una  cota  superior  del  tamaño  de  los  modelos 
necesarios  para  satisfacer  A  (donde  \A\  es  la  “longitud”  de  A ,  que  puede  estar  medida  tanto  en 
cantidad  de  subfórmulas  como  en  letras  proposlclonales).  Entonces:  escribimos  un  programa 
que  recibe  a  A  como  input,  genera  todos  los  modelos  finitos  (de  la  clase  de  modelos  de  que  se 
trata)  hasta  los  del  tamaño  f(\A\)  y  testea  satisfactibilidad  de  A  en  estos  modelos.  Como  A  es  A- 
satisfactlble  si  y  solo  si  es  satlsfactlble  en  un  modelo  de  A  de  a  lo  sumo  tamaño  f(\A\),  y  como  el 
programa  que  construimos  examina  todos  estos  modelos,  el  programa  determina  A- 
satisfactibilidad. 
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Discusión  informal  de  decidibilidad  para  las  lógicas  especificadas  sintácticamente. 

Tenemos  la  lógica  A  especificada  mediante  sus  axiomas,  y  ya  probamos  que  verifica  la  f.m.p. 
para  alguna  clase  de  modelos  M.  Entonces  escribimos  dos  programas:  uno  que  usa  la 
axiomatización  de  A  para  generar  las  fórmulas  A-válidas;  otro  que  genera  los  modelos  finitos 
en  M.  Si  una  fórmula  y?  dada  es  A-vállda,  entonces  será  generada  por  el  primer  programa;  si  no 
lo  es,  encontraremos  con  el  segundo  programa  el  modelo  finito  en  el  que  es  falsa. 

Ejemplo.  La  lógica  modal  mínima  K  es  decidióle.  Verifica  la  f.m.p.  “fuerte”. 

La  prueba  de  esta  propiedad  requiere  del  armado  de  un  modelo  finito.  Lo  hacemos 
aplicando  la  técnica  de  filtrado:  dado  un  modelo  M  =  (W,R,V)  que  satisface  una  fórmula  <|>  en 
algún  mundo,  filtramos  jw  usando  el  conjunto  2  (cerrado)  de  todas  las  subfórmulas  de  4»  y 
obtenemos  un  modelo  finito  M  f  que  satisface  <|>.  Escribimos  dicho  modelo  finito  como 
5Wfs  =  (Wf,Rf,Vf)  y  lo  llamamos  “el  modelo  filtrado  de  iva  partir  de  2”.  Se  arma  así: 

•  Wf  es  el  conjunto  de  las  clases  de  equivalencia  de  los  mundos  de  W.  Para  definir  estas 
clases  de  equivalencia  usamos  la  siguiente  relación  de  equivalencia: 

w  =s  v  si  y  solo  si  para  toda  <|>  en  2  ocurre  que  (m,w  \=  <j>  si  y  solo  si  tM.,v  M) 

Dos  mundos  w  y  v  son  ^-equivalentes  si  y  solo  si  ocurre  que  para  toda  subfórmula  <|>,  <|>  es 
verdadera  en  w  si  y  solo  si  es  verdadera  en  v.  Escribimos  | w|s  para  referirnos  a  la  clase  de 
equivalencia  de  w  en  tM  con  respecto  a  =z.  El  mapeo  w  -»  w|x  que  envía  cada  mundo  w  a  su 
clase  de  equivalencia  |w|sse  llama  mapeo  natural.  Entonces:  Wf  =  {|w|£/  w  e  W}. 

•  Rf  se  define  como: 

i.  si  Rwv  entonces  Rf| w||vj,  y 

ii.  si  rV||v|  entonces  para  todo  0<|>  e  2,  si  M,v  |=  4»  entonces  M,w  |=  0<j>. 

La  primera  de  estas  condiciones  relaciona  dos  clases  de  equivalencia  cada  vez  que  dos 
mundos  w  y  v  se  relacionan  en  W.  La  segunda  condición  se  ocupa  de  conectar  dos  clases  de 
equivalencia  si  ocurre  que  dos  mundos  se  vinculan  en  W  a  partir  de  la  semántica  pretendida 
del  operador  0. 

•  Vf(p)  =  {|w|v  /  tM,w  |=  p},  para  todas  las  letras  de  proposición  p  en  2.  Esto  es,  si  una 
proposición  vale  en  w,  en  el  modelo  filtrado  la  proposición  vale  en  la  clase  de  equivalencia 
de  w,  |w|s.  Ello  surge  naturalmente  del  concepto  de  mapeo  natural. 

Comentario.  Por  qué  el  modelo  que  obtenemos  con  el  filtrado  es  finito :  para  afirmar  ello 
necesitamos  conocer  dos  resultados.  El  primero:  el  conjunto  de  subfórmulas  de  una  fórmula  es 
claramente  finito.  En  el  armado  previo,  trabajamos  con  un  conjunto  2  que  es  un  conjunto 


69 


cerrado  (o  clausurado)  de  subfórmulas  de  <|>.  Dado  que  trabajamos  con  subfórmulas  de  una 
fórmula  bien  formada  es  fácil  ver  que  2  es  finito;  2  se  arma  así:  para  todas  las  fórmulas  4»,  ()>’:  i) 
si  (|)  v  (j)’  e  2  entonces  <|>  e  2  y  4>’  e  2;  ii)  si  -4  e  2  entonces  <])  e  2;  y  iii)  si  04»  e  2  entonces  <j>  e  2. 
El  segundo  resultado  que  necesitamos  conocer  establece  que  si  2  es  un  conjunto  cerrado  de 
subfórmulas  entonces,  para  algún  modelo  M,  si  3Wf  es  un  filtrado  de  jw  a  través  de  un  conjunto 
cerrado  2  de  subfórmulas,  entonces  5Wf  contiene  a  lo  sumo  2n  nodos  (con  n  tamaño  de  2).  Para 
probar  este  resultado  recordemos  que  los  mundos  de  son  las  clases  de  equivalencia 
Wj  =  {|w|v/  w  &  W}.  Sea  g  una  función  con  dominio  Wsy  rango  <p( 2),  g{\w\)  =  { <|)  e  2  /  M,w  h^}-A 
partir  de  la  definición  de  =z  concluimos  que  g  está  bien  definida  y  es  inyectiva.  Por  ello,  el 
tamaño  de  Wzes  a  lo  sumo  2n,  con  n  tamaño  de  2. 

Expresividad.  Traducción  estándar.  Al  comienzo  de  este  capítulo  mencionamos  que  la 
lógica  modal  puede  verse  como  un  fragmento  de  la  lógica  de  predicados  (de  primer  orden). 
Trabajamos  a  continuación  esta  idea. 

El  siguiente  algoritmo  de  traducción  de  fórmulas  modales  a  fórmulas  de  primer  orden  nos 
permite  una  conexión  con  un  contexto  lógico  más  amplio  y  bien  conocido  para  nosotros,  la 
lógica  de  predicados,  donde  podemos  estudiar  aspectos  de  expresividad.  El  algoritmo  ST  (por 
standard  translation  en  inglés)  recibe  una  fórmula  modal  y  retorna  una  fórmula  de  primer  orden 
con  exactamente  una  variable  libre  (digamos  x).  Las  fórmulas  modales  se  traducen  a  fórmulas 
de  primer  orden  (escritas  en  un  lenguaje  de  primer  orden)  que  tienen  exactamente  un  símbolo 
de  relación.  Intuitivamente,  este  símbolo  de  relación  se  corresponde  con  la  relación  que 
subyace  en  un  frame. 

Veamos  cómo  trabaja  el  algoritmo.  A  medida  que  aparecen  operadores  modales  mientras 
“parseamos”  la  fórmula  original  (esto  es,  la  recorremos  sintácticamente  de  Izquierda  a 
derecha),  aquéllos  se  traducirán  en  variables  nuevas  (que  no  aparecieron  hasta  entonces) 
cuantificadas  en  la  fórmula  de  salida.  A  continuación  el  algoritmo  ST : 

STx(p)  =  p(x) 

STX  (_L)  =  x  x  (una  fórmula  falsa) 

ST x  (-,j)  -  —iSTx(A) 

STx(yf  v  «)  =  STx(y?)  v  STX(«) 

STx(0y?)  =  3y(Rxy  a  (STyyt)),  donde  y  es  nueva 
STx(o/t)  =  Vy(Rxy^  (STyy?)),  donde  yes  nueva. 

Si,  por  ejemplo,  no  estamos  en  alguna  ocasión  convencidos  del  significado  intuitivo  de  una 
fórmula  modal,  podemos  usar  el  algoritmo  ST  y  trabajar  o  analizar  la  fórmula  equivalente  en  la 
lógica  de  predicados. 
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Ejemplo.  Consideremos  la  fórmula  op  — >  Op,  entonces  STx(ap  ->■  Op)  =  STx(-.np  v  Op)  = 
STx(-,Dp)  v  STx(0p)  =  -,STx(dp)  v  STx(0p)  =  -,Vy(Rxy  — >  STy(p))  v  3z(Rxz  a  STz(p))  =  -,Vy(Rxy 
->  p(y))  v  3z(Rxz  a  p(z))  =  Vy(Rxy  -a-  p(y))  -a-  3z(Rxz  a  p(z)). 

El  estudio  de  la  expresividad  de  las  fórmulas  modales  en  relación  con  la  lógica  de 
predicados  cae  en  el  marco  de  lo  que  se  conoce  como  teoría  de  correspondencia.  El 
algoritmo  ST  es  un  puente  importante  entre  la  lógica  modal  y  la  lógica  de  predicados  porque 
podemos  transferir  ideas,  resultados  e  incluso  algunas  técnicas  de  demostración  entre  una 
lógica  y  otra.  Para  esto,  es  útil  verificar  que  no  existe  distinción  matemática  entre  modelos 
modales  y  modelos  de  primer  orden,  y  que  ámbos  son  esencialmente  estructuras 
relaciónales:  un  modelo  modal  94  =  (W,R,V)  provee  una  relación  binaria  R  que  puede  usarse 
para  interpretar  un  símbolo  de  relación  R,  y  el  conjunto  V(p¡)  puede  usarse  para  interpretar 
cada  predicado  unario  p¡  (correspondiente  cada  uno  de  ellos  a  cada  letra  de  proposición  en  el 
lenguaje  modal).  Dicho  esto,  existen  dos  resultados  importantes  que  establecen: 

a)  Correspondencia  local  entre  modelos.  Para  todo  modelo  94  y  todos  los  estados  w  e  94\ 
tM., w  f=  yt  si  y  solo  si  94  (=  STx(yt)[w]  (esta  última  expresión  se  lee  “la  expresión  STx(y?), 
escrita  en  un  lenguaje  de  primer  orden,  es  verdadera  cuando  la  variable  x  se  instancia  con  el 
valor  w”). 

b)  Correspondencia  global  entre  modelos.  Para  todo  modelo  94]  94, w  |=  J4  si  y  solo  si 
94  h  Vx  STXU). 

La  prueba  de  ambos  resultados  se  hace  por  inducción  sobre  la  estructura  de  jt. 

Ejemplo.  Es  posible  usar  el  algoritmo  ST  para  obtener  la  compacidad  de  la  lógica  modal 
como  corolario  de  la  prueba  de  compacidad  para  la  lógica  de  predicados.  La  propiedad  de 
compacidad  establece  que  un  conjunto  r  de  fórmulas  de  una  lógica  A  es  A-consistente  si  y 
solo  si  todo  subconjunto  finito  de  r  lo  es.  Para  demostrar  una  de  las  dos  implicaciones, 
consideremos  a  r  un  conjunto  de  fórmulas  modales  en  el  que  cada  subconjunto  es 
satisfactible.  ¿El  conjunto  r  es  satisfactible?  Consideremos  el  conjunto  {STx(yf)  I  jí  e  T}:  es 
un  conjunto  de  fórmulas  escritas  en  un  lenguaje  de  primer  orden.  Como  cada  subconjunto 
finito  de  F  tiene  un  modelo,  por  correspondencia  local  entre  modelos  sucede  que  todo 
subconjunto  finito  de  (STx(y?)  /  J4  e  T}  también;  y  por  lo  tanto,  por  compacidad  en  primer 
orden  (probada  por  ejemplo  por  A.  Hamilton)  ese  conjunto  de  fórmulas  es  satisfactible  en 
algún  modelo,  digamos  94.  Entonces,  nuevamente  por  correspondencia  local  entre 
modelos,  F  es  satisfactible  en  94. 
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Lógica  deóntica 


La  lógica  deóntica  es  la  “lógica  de  lo  que  debe  ser”,  de  lo  obligatorio  y  lo  prohibido ,  y  como 
tal  es  fundamento  de  la  Ética  y  del  Derecho  ( deon  viene  del  griego  lo  que  debe  ser). 
Últimamente  se  la  usa  también  en  el  área  de  la  informática  para  la  especificación,  por  ejemplo, 
de  sistemas  y  protocolos  de  seguridad,  donde  hay  permisos  y  prohibiciones  de  acceso.  La 
lógica  deóntica  sienta  las  bases  para  el  estudio  de  teorías  de  argumentación,  de  lógicas  de  la 
acción,  de  agentes,  de  grupos;  y  para  el  abordaje  de  enfoques  cognitlvos  del  Derecho.  Todas 
estas  teorías  incluyen  novedosas  y  precisas  definiciones  formales  de  conceptos  tales  como 
poder  institucional,  representación,  obligaciones,  grupos  y  equipos,  delegación,  cumplimiento  y 
violación  de  normas,  confianza,  contratos,  entre  otros,  con  miras  a  ser  aplicadas  en  sistemas 
computacionales  inteligentes. 

Una  de  las  principales  características  de  las  reglas  deóntlcas  es  que  pueden  ser  violadas. 
Es  en  este  aspecto  en  el  que  difieren  de  otras  reglas,  normas,  o  principios,  por  ejemplo  de  las 
matemáticas  o  de  la  naturaleza.  En  esos  contextos  los  principios  no  pueden  quebrarse 
fácilmente.  Por  ejemplo,  a  ninguno  de  nosotros  nos  tomará  demasiado  esfuerzo  violar  la  norma 
que  establece  que  no  debemos  cruzar  el  semáforo  en  rojo  cuando  conducimos  un  automóvil; 
sin  embargo,  es  imposible  que  un  círculo  tenga  un  área  distinta  a  nr2  o  que  dos  moléculas  de 
hidrógeno  y  una  de  oxígeno  se  unan  para  formar  una  sustancia  distinta  del  agua. 

Para  los  informáticos,  conocer  formalismos  simbólicos  de  la  lógica  deóntica  aumenta 
nuestras  capacidades  de  razonamiento  abstracto  en  el  área  de  sistemas,  y  nos  prepara  para 
enfrentar  desde  un  punto  de  vista  lógico  formal  muchas  de  las  modernas  teorías  de  sistemas 
donde  intervienen  múltiples  agentes,  cada  uno  con  sus  propias  creencias  e  intenciones,  y  que 
interactúan  entre  ellos  para  lograr  sus  objetivos  en  un  ambiente  donde  hay  normas  de 
diferentes  tipos  y  jerarquías.  Las  aplicaciones  de  la  lógica  deóntica  a  la  informática 
normalmente  se  relacionan  con  modos  de  especificación  computaclonal  de  normas,  esto  es, 
con  formas  de  especificación  de  comportamiento  ideal,  de  lo  que  “debe  ser”.  Hay  normas  que 
regulan  el  funcionamiento  de  los  sistemas  de  computación,  el  comportamiento,  movimiento  y 
seguridad  de  sus  usuarios,  y  normas  que  gobiernan  el  núcleo  central  de  procesamiento  de  un 
sistema,  propiamente  dicho.  Los  sistemas  -y  las  organizaciones,  o  instituciones- junto  con  sus 
partes,  sus  usuarios  y  sus  miembros  integrantes  (que  pueden  ser  otras  instituciones),  están 
cruzados  por  normas  de  diferentes  clases:  en  los  sistemas  hay  normas  de  accesos  y  permisos, 
hay  especificaciones  de  políticas  de  trabajo,  de  comunicación  y  de  acción;  hay  otros  tipos  de 
reglas  como  las  de  orden  y  de  limpieza,  o  guías  de  comportamiento,  horarios  de  entradas, 
salidas,  hay  también  restricciones  de  Integridad  y  de  seguridad,  hay  reglas  que  son  para  los 
usuarios  y  otras  que  son  para  empleados,  etc.  Cómo  modelar  computaclonalmente  normas, 
cómo  hacerlas  cumplir,  cómo  detectar  su  violación  y  cómo  determinar  y  exigir  un  resarcimiento 
ante  un  incumplimiento,  son  temas  de  los  que  se  ocupa  el  área  de  sistemas  normativos  dentro 
del  área  más  grande  de  sistemas  inteligentes. 
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Es  conveniente  que  conozcamos  las  dificultades  que  tiene  la  lógica  proposicional  básica 
para  capturar  formalmente  el  discurso  normativo,  donde  cobra  especial  interés  la  categoría 
filosófica  del  “deber  ser”.  La  lógica  proposicional  clásica  es  insuficiente  para  representar  dicha 
categoría  porque  las  proposiciones  son  o  verdaderas  o  falsas,  es  decir,  las  cosas  son  o  no  son. 
No  podemos  simbolizar  que  las  cosas  “deben  ser”  o  “está  prohibido  que  sean”,  solo  podemos 
simbolizar  la  forzosidad  de  que  las  cosas  son  o  no  son,  que  los  hechos  ocurren  o  no  ocurren. 
Mostraremos  esta  incapacidad  de  la  lógica  proposicional  para  representar  el  “deber  ser”  con  un 
caso  simple  (ejemplo  de  la  Biblioteca  del  Imperial  College,  dado  por  A.  Jones  y  citado  por  R. 
Wieringa  y  J.  Meyer): 


Ejemplo.  Reglas  de  la  biblioteca.  El  lector  devolverá  el  libro  en  15  días  hábiles.  Si  el  lector 
devuelve  el  libro  en  15  días  hábiles,  no  se  le  aplicará  el  apercibimiento  administrativo  del 
artículo  20.  SI  el  lector  no  devuelve  el  libro  en  15  días  hábiles,  se  le  aplicará  el  apercibimiento 
administrativo  del  artículo  20. 

Si  formalizamos  estas  reglas  usando  lógica  proposicional,  tenemos  tres  proposiciones:  p, 
p  — >  — .q  y  — ip  — >  q  para  la  primera,  segunda  y  tercera  regla  de  la  biblioteca,  respectivamente. 
Supongamos  que  ocurre  que  el  lector  no  devuelve  el  libro  en  15  días  hábiles;  formalizamos  ese 
hecho  como  -.p.  Tenemos  entonces:  i)  una  contradicción  entre  este  hecho  nuevo  y  la  primera 
regla  de  la  biblioteca;  y  también  tenemos  ii)  entre  las  dos  primeras  reglas  deducimos  -.q  por 
modus  ponens,  y  entre  la  tercera  regla  y  el  hecho  nuevo  -.p  deducimos  q,  con  lo  cual 
conseguimos  q  y  -.q.  Esto  sorprende,  porque  las  reglas  tal  como  están  presentadas  en 
lenguaje  natural  son  coherentes  desde  el  punto  de  vista  de  lo  que  se  debe  hacer  para  el 
correcto  funcionamiento  de  la  biblioteca,  y  porque  además  las  hemos  traducido  de  un  modo 
directo  al  lenguaje  de  la  lógica  proposicional.  No  solo  no  hay  error  alguno  en  las  reglas  de  la 
biblioteca  ni  en  su  formalización  proposicional,  sino  que  tampoco  hay  error  en  el  proceso  de 
deducción  llevado  a  cabo.  Simplemente,  la  lógica  proposicional  “se  queda  corta”  para 
representar  que  algo  es  forzoso. 

Esta  dificultad  de  la  lógica  proposicional  para  modelar  el  deber  ser  favoreció  la  búsqueda  de 
representaciones  que  fueran  adecuadas. 

Formalización  de  conceptos  deónticos.  El  aspecto  técnico  más  influyente  sobre  las 
descripciones  formales  modernas  de  la  lógica  deóntica  aparece  en  el  trabajo  seminal  de  G.  von 
Wright,  Deontic  Logic,  de  1951.  Dicho  trabajo  define  un  sistema  formal  proposicional  elemental 
que  incluye  los  modos  deónticos  básicos  P,  F  y  O  de  permiso,  prohibición  y  obligación, 
representados  con  tablas  de  verdad  que  incluyen  los  conectivos  booleanos  usuales.  Las  letras 
proposicionales  se  corresponden  con  acciones  simples.  Por  ejemplo,  con  la  letra  p  describimos 
acciones  tales  como  “pagar”,  “estacionar”,  “matar”,  “adeudar”,  “fumar”,  “robar”,  etc.  Asumimos 
que  la  expresión  negada  -,p  se  interpreta  como  “no  estar  haciendo  p”.  Conceptualmente 
entonces  tenemos  que  los  modos  deónticos  modallzan  acciones.  Algunos  renglones  de  las 
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tablas,  por  corresponderse  con  escenarios  imposibles  para  un  contexto  normativo,  no  eran 
para  von  Wrlght  combinaciones  admisibles.  Por  ejemplo,  al  armar  la  tabla  de  verdad  de  la 
proposición  Pp  v  P-.p,  cuya  lectura  intuitiva  es  “está  permitido  hacer  p  o  está  permitido  no 
hacer  p”,  la  combinación  falso-falso  de  valores  de  verdad  para  Pp  y  para  P-.p  es  una 
combinación  inadmisible  porque  o  bien  uno  tiene  permitido  hacer  p  o  bien  uno  tiene  permitido 
hacer  -.p;  en  la  realidad  no  se  da  el  caso  de  que  poder  hacer  p  y  poder  hacer  la  negación  de  p 
sean  ambas  falsas,  pues  en  un  momento  dado  o  estamos  haciendo  p  o  no  lo  estamos 
haciendo.  Entonces,  es  por  ello  que  el  renglón  falso-falso  en  la  tabla  de  verdad  de  la 
proposición  Pp  v  P-ip,  para  von  Wrlght  no  existe. 

Luego  de  que  von  Wrlght  explicara  su  sistema  deóntlco  en  1951,  el  área  de  la  lógica 
deóntlca  floreció  de  estudios  y  se  descubrió  que  aquellos  tres  operadores  para  los  cuales  von 
Wright  armaba  tablas  de  verdad  podían  -con  mayor  o  menor  éxito-  representarse  con  los 
operadores  de  necesidad  y  posibilidad  de  una  lógica  modal  normal. 

En  el  resto  de  esta  sección  estudiamos  a  la  lógica  deóntlca  descrlpta  como  una  lógica 
modal  normal. 

Operadores  modales  en  su  interpretación  deóntica.  El  operador  es  comúnmente 
usado  para  modalidades  de  carácter  universal;  esta  intuición  ya  la  manejamos  porque 
conocemos  la  semántica  del  operador  □.  Notemos  que  esta  universalidad  del  □  coincide  con 
nuestra  ¡dea  básica  de  obligatoriedad:  algo  es  obligatorio  si  necesariamente  debe  ser  cumplido 
sea  cual  sea  la  situación  o  el  estado  de  cosas. 

Entonces,  para  trabajar  en  un  contexto  deóntico,  simplemente  reescribimos  □  como  O  (por 
“obligatorio”).  Así,  tenemos  que  dado  un  mundo  w  la  fórmula  Ojl  es  verdadera  en  w  si  yt  es 
verdadera  en  todos  los  mundos  o  situaciones  que  son  adyacentes  a  w.  la  semántica  para  O  es 
verdad  en  todos  los  mundos  R-accesibles. 

El  dual  del  operador  O  es  el  operador  P  cuya  lectura  intuitiva  es  “permitido”:  Notemos  que  la 
dualidad  Op  <-4  -P-.p  se  ajusta  a  nuestra  intuición  de  permiso  pues  algo  es  obligatorio  si  no 
ocurre  que  está  permitido  que  su  negación  suceda.  Por  ejemplo,  “es  obligatorio  hacer  silencio” 
es  equivalente  a  “no  se  permite  no  hacer  silencio”. 

Finalmente,  el  tercer  operador  comúnmente  usado  en  la  lógica  deóntlca  es  una  abreviatura: 
definimos  el  operador  F,  cuya  lectura  intuitiva  es  “prohibido”,  como  Fp  <-4  -iPp,  esto  es,  si  algo 
está  prohibido  es  porque  no  está  permitido  que  lo  llevemos  a  cabo.  Por  ejemplo  “prohibido 
fumar”  es  equivalente  a  “no  se  permite  fumar”.  Es  fácil  ver  que  Fp  también  puede  escribirse 
como  0-.p:  reemplazando  adecuadamente  vemos  que  0-.p  =  -P-.(-.p)  =  -,Pp  =  Fp. 

A  continuación  describimos  formalmente  desde  el  punto  de  vista  sintáctico  un  sistema 
modal  básico  de  lógica  deóntlca. 
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Definición  3.13.  Sistema  modal  KD  de  la  lógica  deóntica.  Definimos  el  sistema  de  la 
lógica  deóntica  como  sigue: 

Lenguaje 

El  lenguaje  preposicional  estándar,  al  que  sumamos  los  símbolos  O,  P,  F. 

Axiomas 

Todas  las  tautologías  de  la  lógica  proposlclonal. 

(K)  0(p  — >  q)  — >  (Op  — »■  Oq) 

(P)  Pp  <->  -'O-'p 
(D)  Op  — >  Pp 
(F)  Fp  <->  O^p 
Reglas  de  inferencia 

modus  ponens,  generalización  y  sustitución  uniforme. 

Algunos  comentarlos  sobre  esta  definición.  La  lógica  deóntica  así  definida  -como  una 
extensión  de  la  lógica  modal  normal  mínima-  captura  la  intuición  que  tenemos  sobre  el 
universo  de  las  normas.  El  axioma  K  es  el  axioma  de  distribución  de  toda  lógica  normal.  Los 
axiomas  (P)  y  (F)  se  corresponden  con  el  dual  de  O  y  con  una  abreviatura,  respectivamente.  El 
axioma  (D)  establece  el  principio  deóntico  de  que  si  algo  es  obligatorio  entonces  está  permitido, 
lo  que  tiene  sentido,  pues  si  pretendemos  que  algo  sea  impuesto  por  una  norma  entonces  ese 
algo  tiene  que  estar  permitido  o  habilitado. 

Discusión.  Notemos  que  podemos  aplicar  la  regla  de  generalización  a  las  tautologías 
preposicionales  por  ser  éstas  teoremas  del  sistema  de  la  lógica  deóntica.  Pero,  ¿las  tautologías 
son  obligatorias? 

Discusión  conexa.  La  fórmula  -.0_L  es  un  teorema  del  sistema  formal  de  la  lógica  deóntica. 
Para  probarlo,  veamos  que  la  fórmula  OT  es  demostrable  en  el  sistema  por  aplicación  de  la 
regla  de  generalización  (con  T  constante  true ,  definida  como  abreviatura,  tal  como  hicimos  en 
la  sección  anterior).  Seguidamente,  invocamos  el  axioma  (D)  y  conseguimos  OT  PT. 
Aplicando  modus  ponens  y  a  continuación  (P)  obtenemos  PT  =  -.0-.T  =  -.01.  Este  teorema  le 
da  cierta  coherencia  fundamental  a  cualquier  sistema  de  normas,  impidiéndole  tener  normas 
que  sean  contradicciones. 

Semántica.  A  la  semántica  formal  de  esta  lógica  deóntica  se  la  llama  KD  (por  abuso  de 
lenguaje  se  suele  mencionar  el  nombre  del  cálculo  sintáctico,  normalmente  en  la  jerga  se  dice: 
“este  sistema  tiene  semántica  KD  estándar”).  Los  modelos  para  los  frames  tienen  estructura 
(W,  Ro,V),  con  W  los  mundos,  V  la  función  de  valuación  y  R0  la  relación  de  accesibilidad  tal 
que  cumple  que  para  todo  w  e  W  existe  un  v  e  W  tal  que  R0wv  (VwBv  :  R0wv).  Esto  es,  la 
lógica  deóntica  presentada  es  fuertemente  completa  respecto  de  los  frames  seriales  o  “sin 
límite  a  derecha”;  son  frames  en  los  que  la  relación  de  accesibilidad  entre  mundos  se  denomina 
serial:  siempre  para  cada  mundo  hay  otro  mundo  accesible. 
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- ► - ► - ► 

...4  5  6  7  ... 

ejemplo  de  frame  serial 

Para  probar  que  la  lógica  KD  es  fuertemente  completa  respecto  de  los  frames  sin  límite  a 
derecha  es  suficiente  mostrar  que  el  modelo  canónico  para  KD  es  sin  límite  a  derecha.  Esto 
requiere  de  una  prueba  de  existencia.  Sea  w  cualquier  mundo  en  el  modelo  canónico  para  KD, 
debemos  probar  que  existe  un  v  tal  que  RKdVW.  Como  w  es  un  conjunto  KD-maximal 
consistente,  entonces  contiene  la  fórmula  np  -»  Op.  Por  lo  tanto,  por  clausura  de  los  conjuntos 
maxlmales  consistentes  y  por  sustitución  uniforme,  w  contiene  a  oT  OT  (con  T  constante 
true).  Como  las  tautologías  pertenecen  a  toda  lógica  modal  normal,  por  aplicación  de  la  regla 
de  generalización  dT  también,  y  entonces,  por  modus  ponens,  OT  e  w,  y  por  lo  tanto  existe  v 
sucesor  RKD-acceslble  de  w  por  aplicación  del  lema  de  existencia.  Este  lema  establece  que 
para  toda  lógica  normal  A  y  cualquier  estado  w  e  WA,  si  0 jl  e  w  entonces  existe  un  estado 
v  e  WA  tal  que  RAwv  y  A  e  v,  con  WAy  RAcomo  en  la  definición  3.12. 


Algunos  teoremas  de  KD.  Algunos  de  los  más  relevantes  son: 


(Oa) 

< 

CL 

O 

q)  <-► 

(Op  A 

Oq) 

(Pa) 

P(P  A 

q)- 

(PP  A 

Pq) 

(Fa) 

(Fpv 

Fq)  — >  F(p  a  q) 

(Ov) 

(Op  v 

Oq) 

-0(p 

vq) 

(Pv) 
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'q)« 

•  (Ppv 
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(Fv) 

F(p  v 

■q)<-> 
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Es  importante  notar  que  en  estos  teoremas  hay  implícita  una  suposición  de  cotemporalidad, 
es  decir,  los  actos  o  hechos  representados  por  las  letras  preposicionales  en  cada  teorema  se 
consideran  como  ocurriendo  a  la  vez,  en  simultáneo.  Vemos  que  la  obligación  de  una 
conjunción  de,  digamos,  dos  actos,  es  equivalente  a  la  conjunción  de  las  obligaciones  de  cada 
acto  por  separado  (Oa),  y  que  el  permiso  de  una  disyunción  es  equivalente  a  la  disyunción  de 
los  permisos  (Pv).  Ambas  equivalencias  seguramente  nos  resultan  intuitivas.  Para  (Oa)  por 
ejemplo,  una  posible  lectura  en  lenguaje  natural  es:  “es  obligatorio  permanecer  de  pie”  y  “es 
obligatorio  guardar  silencio”,  y  “es  obligatorio  permanecer  de  pie  y  guardar  silencio”. 
Siguiendo,  notemos  que  el  permiso  de  una  conjunción  implica  la  conjunción  de  los  permisos 
(Pa);  pero  en  el  otro  sentido  la  implicación  no  vale:  por  ejemplo,  que  esté  permitido  conducir  un 
automóvil  y  también  esté  permitido  hablar  por  teléfono  móvil  no  Implica  que  estén  permitidas  a 
la  vez  ambas  acciones.  Dejamos  al  lector  la  lectura  intuitiva  (y  también  la  demostración)  de  los 
teoremas  restantes  teniendo  en  cuenta  la  suposición  de  cotemporalidad. 
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Ventajas  del  enfoque  modal  de  la  lógica  deóntica.  La  descripción  lógica  de  normas  usando 
operadores  deónticos  permite  descubrir  patrones  normativos.  A  partir  de  allí,  es  posible  explorar 
nuestras  capacidades  de  diseño  y  análisis  de  normas  a  distintos  niveles  de  jerarquías  de  normas  y 
también  en  cuanto  a  normas  de  distintos  tipos:  jurídicas,  morales,  de  tránsito,  de  etiqueta,  etc. 
Adquirimos  así  mayor  capacidad  “ingenieril”  en  el  sentido  de  poder  definir  y  determinar  las  formas 
lógicas  de  normas,  relaciones  entre  ellas,  y  nuevas  categorías  normativas. 

Ejemplo.  Definición  de  nuevas  categorías  normativas,  von  Wright  dio  la  definición  para 
el  concepto  de  acto  indiferente  usando  el  operador  deóntico  P  del  siguiente  modo:  un  acto 
(simbolizado  con  una  letra  proposicional)  es  indiferente  si  el  acto  está  permitido  y  su  negación 
también.  Por  ejemplo,  en  una  plaza  está  permitido  fumar,  y  también  está  permitido  no  fumar 
(en  símbolos:  Pf  a  P— ,f).  Además,  von  Wright  explicó  que,  si  bien  todos  los  actos  indiferentes 
están  permitidos  ((Pf  a  P— ,f)  — »  Pf),  aquello  que  está  permitido  no  es  indiferente  (por  ejemplo, 
que  esté  permitido  honrar  a  la  patria  no  implica  que  esté  permitido  honrar  a  la  patria  y  que 
también  esté  permitido  deshonrarla).  Los  actos  indiferentes  pueden  lucir  triviales  en  su 
estructura  lógica;  sin  embargo,  pueden  resultar  relevantes  para  la  tarea  de  diseño  de  sistemas 
normativos,  esto  es,  en  un  sentido  “ingenieril”  de  un  cuerpo  normativo:  cuando  ciertos  actos 
son  identificados  como  indiferentes,  seguramente  no  integrarán  ninguna  obligación,  no  serán 
parte  de  ninguna  norma.  Al  identificar  actos  indiferentes  podemos  “purgar”  o  “limpiar”  un  cuerpo 
normativo  (una  base  de  datos  normativa)  de  ellos,  von  Wright  también  sostuvo  que  lo  que  es 
obligatorio  está  permitido  (axioma  D)  pero  no  es  indiferente;  ello  es  fácil  de  ver  porque  por  el 
axioma  D  tenemos  Op  — »  Pp,  pero  no  es  posible  derivar  Op  — » (Pp  a  P — .p)  en  el  sistema. 

Notemos  que  estas  estructuras  de  fórmulas,  que  representan  diferentes  categorías 
normativas,  son  aplicables  a  actos  considerados  aisladamente,  “de  a  uno”,  von  Wright  presentó 
también  conceptos  deónticos  que  se  aplican  a  pares  de  actos,  como  la  idea  de  actos 
incompatibles :  dos  actos  son  incompatibles  si  su  conjunción  está  prohibida:  F(p  a  q),  como  por 
ejemplo  conducir  un  automóvil  y  hablar  por  teléfono  móvil.  También  presentó  la  ¡dea  de 
compromiso',  un  acto  nos  compromete  a  (hacer)  otro  acto  si  la  implicación  entre  ámbos  es 
obligatoria.  Por  ejemplo,  hacer  una  promesa  nos  compromete  a  cumplirla:  vemos  que 
0(p  -»  q)  =  — iP — ,(p — »-q)  =  — ,P— .(— ip  v  q)  =  -p(p  a  -iq),  que  puede  leerse  intuitivamente  como  “si 
uno  se  obliga  prometiendo  que  si  p  es  el  caso,  entonces  cumplirá  con  q”.  Vemos  que  no  está 
permitido  prometer  p  y  no  cumplir  con  q  ( — iq).  En  resumen,  gráficamente  tenemos: 
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Paradojas  deónticas.  Las  paradojas  deónticas  son  expresiones  que  son  verdaderas  en  el 
sistema  KD  pero  que  carecen  de  significado  o  son,  directamente,  contradictorias  cuando  las 
analizamos  desde  el  sentido  común.  Algunos  ejemplos  son: 


Paradoja  de  Ross 
Paradoja  del  penitente 
Obligación  derivada 
Sistema  normativo  vacío 


Op  O(pvq) 

Fp  — »  F(p  a  q) 

Op  ->  0(q  ->  p) 

OT,  con  T  true  (cualquier  tautología) 


Un  ejemplo  en  lenguaje  natural  de  la  paradoja  de  Ross  es  “es  obligatorio  que  lleves  esta 
carta  al  correo,  entonces  es  obligatorio  que  o  lleves  esta  carta  al  correo  o  la  quemes”.  La 
paradoja  del  penitente  puede  ejemplificarse  en  lenguaje  natural  con  “está  prohibido  matar,  por 
lo  tanto  están  ámbos  prohibidos  matar  y  arrepentirse”.  Notar  que  la  paradoja  de  la  obligación 
derivada  proviene  de  la  definición  de  la  función  de  verdad  del  condicional  tal  como  lo 
conocimos  al  estudiar  la  lógica  proposlcional  (que  en  la  jerga  algunos  denominan  “implicación 
material”). 

von  Wrlght  consideró  que  las  tautologías  no  necesariamente  debían  ser  obligatorias,  y  que 
tampoco  las  contradicciones  deben  estar  prohibidas.  Estos  dos  escenarios  deónticos  le 
resultaban  a  von  Wrlght  innecesarios,  ajenos  a  cualquier  sistema  normativo  que  se  preciara  de 
ser  coherente  con  la  realidad,  fundando  esto  en  el  hecho  de  que  no  estamos  obligados  a  hacer 
cosas  verdaderas  y  en  que  muchas  veces  hacemos  contradicciones.  A  estos  dos  escenarios 
los  consideró  integrantes  de  lo  que  llamó  el  principio  de  contingencia  deóntica,  que  podemos 
formalizar  con:  -.OT  a  — ,F_L.  Ahora  bien,  notemos  que  tal  como  lo  hemos  planteado  en  la 
discusión  conexa  a  la  definición  3.13,  la  fórmula  OT  es  teorema  del  sistema  formal  KD,  y 
también  notemos  que  OT  =  (— .P — .)T  =  F( — .T)  =  F_L.  Justamente,  las  fórmulas  OT  y  FJ_  hacen 
caer  el  principio  de  contingencia  deóntica  considerado  válido  por  von  Wright,  para  quien  OT  y 
FJ_  no  deben  ser  teoremas  de  ningún  sistema  de  normas.  Así,  vemos  que  KD  entra  en  colisión 
con  el  sistema  original  propuesto  por  von  Wright. 


Decidibilidad  del  sistema  KD.  Dejamos  al  lector  la  prueba  de  decidibilidad  de  KD,  teniendo 
en  cuenta  que  ya  sabemos  que:  KD  es  axiomatizable  mediante  un  número  finito  de  esquemas 
de  axioma,  y  que  el  axioma  D  determina  la  clase  de  los  frames  seriales  (lo  hemos  probado  más 
arriba).  Queda  por  demostrar,  para  la  prueba  de  decidibilidad,  que  KD  posee  la  propiedad  de 
modelo  finito.  Ello  puede  hacerse  mediante  un  filtrado,  siguiendo  los  pasos  descriptos  en  la 
sección  anterior. 


Otros  enfoques  para  la  representación  de  normas.  El  enfoque  que  usa  la  lógica 
proposlcional  clásica  -despojada  de  operadores  deónticos,  como  en  el  ejemplo  de  las  reglas 
de  la  biblioteca-  se  ubica  en  lo  que  en  el  área  se  denomina  “enfoque  factual”,  es  decir,  relativo 
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a  los  hechos,  a  “lo  que  es”.  A  este  enfoque  también  pertenecen  intentos  de  representar  normas 
usando  lógica  de  predicados  -tal  como  la  hemos  estudiado  en  el  segundo  capítulo-.  En  este 
contexto,  las  normas  se  ven  como  definiciones  en  lugar  de  obligaciones,  permisos  y 
prohibiciones.  De  este  modo,  las  normas  se  formalizan  como  predicados  de  un  lenguaje  de 
primer  orden,  o  como  cláusulas  en  un  programa  Prolog.  Esta  versión  del  diseño  de  normas 
presenta  las  conocidas  ventajas  y  características  que  posee  la  lógica  de  predicados  por  sobre 
la  lógica  proposlclonal;  pero  tengamos  en  cuenta  que  las  cláusulas  Prolog  o  los  predicados  de 
primer  orden  no  permiten  capturar  la  categoría  deóntlca,  es  decir,  no  permiten  diferenciar  entre 
lo  que  “es”  y  lo  que  “debe  ser”,  sino  que  formalizan  conceptos.  Autores  como  Jones  han 
remarcado  que,  claramente,  los  enfoques  factuales  de  las  normas  son  limitados  en  su 
capacidad  de  modellzaclón,  pero  no  tienen  nada  de  malo  dado  que  permiten  estudiar,  por 
ejemplo,  cómo  diferentes  definiciones  o  conceptos  legales  se  aplican  a  un  caso  en  estudio, 
cómo  analizar  textos  legales,  etc. 

Operadores  deónticos  relativizados.  Hasta  aquí  hemos  visto  a  la  lógica  deóntlca  que 
tiene  un  operador  modal  O  de  obligación.  Este  operador  O  es  genérico  en  el  sentido  de  que  es 
impersonal,  pues  asume  una  referencia  tácita  a  todos  los  obligados,  que  somos  todos  los 
individuos  o  agentes  integrantes  del  grupo  o  de  la  comunidad  de  que  se  trate.  Así,  entendemos 
al  operador  O  como  de  obligación  general.  Pero  podemos  hacer  una  distinción  y  referirnos  a 
quiénes  son  los  individuos  obligados,  introduciendo  operadores  de  obligación  relativizados  a 
dichos  individuos,  operadores  que  autores  como  H.  Herrestad  y  C.  Krogh  llaman  obligaciones 
especiales.  Estos  autores  definen  un  nuevo  operador  deóntico  OxA  cuya  lectura  intuitiva  es  “es 
obligatorio  A  para  el  individuo  o  agente  x”  (y  su  semántica  es  KD).  Supongamos  que 
consideramos  la  posibilidad  de  crear  una  extensión  del  sistema  KD  agregándole  esta 
modalidad.  Entonces  aparecen  relaciones  interesantes  que  debemos  considerar.  Por  ejemplo, 
seguramente  pretenderemos  que  valga  en  la  extensión  el  axioma  O  A  -»  OxA  que  establece  que 
si  algo  es  obligatorio  en  términos  generales  entonces  es  obligatorio  para  el  individuo  x.  Del 
mismo  modo  que  relatlvlzamos  obligaciones  para  denotar  normas  individuales,  podemos 
relatlvlzar  el  operador  deóntico  para  que  indique  a  favor  de  qué  individuo  debe  x  cumplir  la 
obligación  de  A-  Por  ejemplo,  podemos  definir  O yxA  cuya  lectura  intuitiva  es  “x  está  obligado  a 
A  en  el  interés  de  y”.  Este  tipo  de  obligación  relativizada  es  muy  específica  pues  denota  las  dos 
partes:  el  deudor  y  el  beneficiario  de  una  obligación  individual. 

Estudiamos  en  la  sección  siguiente  más  aspectos  referidos  a  operadores  individuales  para 
cada  agente. 

Síntesis.  Hemos  mencionado  a  la  lógica  proposicional  y  su  limitación  para  representar 
satisfactoriamente  la  categoría  del  “deber  ser”  de  las  normas.  Hemos  estudiado  cómo  el 
enfoque  modal  deóntico  sí  hace  una  distinción  precisa  entre  las  categorías  filosóficas  del 
“deber  ser”  (lo  ideal)  y  del  “ser”.  Muchas  veces  las  distinciones  y  debates  filosóficos  no  tienen 
aplicaciones  concretas  en  la  realidad;  la  formalizaclón  de  la  lógica  deóntlca  como  una  lógica 


79 


modal  computable  es  un  ejemplo  de  un  concepto  filosófico  que  puede  materializarse  y  ser 
puesto  en  uso  en  un  sistema  computaclonal. 


Sistemas  multiagente 

El  área  de  sistemas  multiagente  (MAS,  por  las  siglas  en  inglés  de  multi-agent  systems)  se 
ocupa  principalmente  de  modelar  agentes  cognitlvos  (actores  humanos  o  entidades 
computacionales  que  saben  y  conocen)  o  reactivos  (que  actúan  y  reaccionan),  que  dependen 
unos  de  otros  para  lograr  sus  objetivos  individuales  o  grupales,  e  interactúan  en  varios  y 
diferentes  ambientes. 

Hay  al  menos  cuatro  usos  actuales  de  sistemas  multiagente  que  describen  la  segmentación 
del  campo  de  estudio:  i)  el  diseño  de  sistemas  distribuidos  o  híbridos,  ii)  la  formulación, 
simulación  y  resolución  de  problemas  haciendo  foco  en  unidades  sociales,  grupos  y 
organizaciones,  iii)  el  desarrollo  de  teorías  socio-filosóficas,  y  iv)  la  comprensión  de  temas 
sociales  y  hechos  sociales. 

MAS  hace  énfasis  en  el  comportamiento  visible  de  los  agentes,  en  el  conocimiento  que 
manejan,  en  los  diferentes  tipos  de  normas  que  regulan  el  accionar  de  los  agentes,  y  en  las 
agrupaciones  de  agentes  que  se  comportan  como  unidades  sociales  de  distintas  envergaduras. 
Los  agentes  artificiales  imitan  (o  intentan  imitar)  atributos  humanos  y  capacidades  humanas 
que,  en  el  área,  se  describen  con  términos  provenientes  de  las  ciencias  cognitlvas:  “pensar”, 
“adaptarse”,  “aprender”,  “argumentar”;  ser  “racional”,  ser  “emotivo”,  o  “rutinario”.  Las  estructuras 
de  grupos  de  agentes  y  las  relaciones  entre  agentes  se  describen  usando  terminología 
sociológica:  “organización”,  “comunidad”,  “coalición”,  “grupo”,  “poder”,  “solidaridad”,  “normas”, 
“contratos”,  “institución”,  etc. 

A  partir  de  aquí  usamos  la  sigla  MAS  no  solo  para  referirnos  al  área  de  estudio  sino  también 
como  abreviatura  de  la  expresión  “slstema(s)  multiagente”,  cuando  no  hay  confusiones. 

Descripción  formal  de  sistemas  multiagente  (MAS).  La  lógica  modal  es  -por  su 
flexibilidad  y  naturalidad  en  la  escritura-  una  herramienta  ampliamente  aceptada  para  el  diseño 
y  el  desarrollo  de  MAS.  Con  el  fin  de  dar  una  definición  de  los  estados  mentales  y  cognitlvos  de 
los  agentes,  se  formaliza  con  distintas  lógicas  modales  especiales  la  postura  del  agente  hacia 
su  entorno:  lo  que  el  agente  sabe,  cuáles  son  sus  creencias,  cuáles  son  sus  objetivos,  cómo 
actúa,  etc. 

Los  sistemas  más  conocidos  e  influyentes  de  este  tipo  son  los  llamados  de  creencia-deseo- 
intención  BDI  (por  el  inglés  belief-desire-intention  systems).  Los  agentes  BDI  se  describen  a 
través  de:  i)  un  estado  “mental”  dado  en  términos  de  creencias  ( beliefs )  correspondientes  a  la 
información  que  el  agente  tiene  sobre  el  entorno  (que  “cree”  que  sucede  alrededor);  ii)  los 
deseos  ( desires ),  que  son  opciones  que  tiene  el  agente,  y  iii)  las  intenciones  (intentions)  que 
representan  deseos  elegidos  por  el  agente  (para  ser  cumplidos,  o  intentar  ser  cumplidos).  Las 
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creencias  son  vistas  como  “información”  del  agente.  Los  deseos  e  intenciones  son  vistos  como 
actitudes  motivacionales ,  como  una  inspiración  para  la  actividad  del  agente. 

Para  representar  cada  uno  de  estos  aspectos  existen  lógicas  específicas  de  poder 
expresivo  limitado,  como  por  ejemplo:  una  lógica  de  creencias,  una  lógica  de  intenciones,  una 
lógica  de  objetivos,  una  lógica  del  actuar,  etc.  De  manera  análoga  a  la  discutida  en  la 
presentación  de  la  lógica  deóntica,  una  descripción  formal  de  estas  lógicas  específicas  puede 
hacerse  a  través  de  una  lógica  proposicional  extendida  con  una  colección  de  operadores 
modales  ax  indexada  por  una  colección  A  de  agentes  (ox  /  x  e  A).  Típicamente,  para  cada 
x  e  A,  dx  funciona  como  un  operador  modal  normal  que  satisface  axiomas  extra  que  capturan 
algún  aspecto  relevante  del  agente. 

Ejemplo.  Lógica  de  creencias.  En  la  lógica  de  creencias  escribimos  Belx^  por  nxA-  Belxyl 
es  una  modalidad  epistémica  (o  “del  conocimiento”).  Es  usada  para  representar  “el  agente  x 
cree  que  j?,  con  y?  proposición. 

El  conjunto  de  creencias  de  un  agente  representa  su  “estado  mental”.  Para  la  lógica  de 
creencias,  requerimos:  Belx  yt  a  Belx(yf  -»«)->•  Belx®  (distribución  de  creencias),  -iBelx_L 
(consistencia  de  creencias),  Belx^íl  — >  Belx(Belx^i)  (introspección  positiva),  -.Bel XA^>  Belx(-iBelxyl) 
(introspección  negativa),  y  de  A  se  obtiene  Bel xyt  (regla  de  generalización  para  creencias).  El 
axioma  de  consistencia  de  creencias  nos  asegura  que  el  agente  no  cree  en  contradicciones, 
esto  es,  no  cree  en  algo  y  en  lo  opuesto.  El  axioma  de  introspección  positiva  afirma  que  si  el 
agente  cree  algo  entonces  cree  en  lo  que  cree,  y  el  axioma  de  introspección  negativa  establece 
que  si  un  agente  no  cree  en  algo  entonces  cree  que  no  cree  ese  algo.  Finalmente,  la  regla  de 
generalización  establece  que  el  agente  cree  en  algo  si  ese  algo  pudo  probarse  como  cierto. 

Ejemplo.  Lógica  de  objetivos.  En  la  lógica  de  objetivos  escribimos  Goalx  y?  por  nxyt.  La 
expresión  Goalxyí  representa  “el  agente  x  tiene  el  objetivo  jf,  con  y?  proposición,  que  refleja 
algún  estado  particular  de  cosas  (por  ejemplo:  “viajar”)  que  el  agente  quiere  llevar  a  cabo.  Para 
la  lógica  de  objetivos  requerimos:  Goal^  a  Goalx(yf^  «)  -a-  Goalx®  (distribución  de  objetivos)  y 
de  y?  se  obtiene  Goalxyf  (regla  de  generalización  para  objetivos). 

Ejemplo.  Lógica  de  intenciones.  En  la  lógica  de  intenciones  escribimos  lntxyí  por  nxjl.  La 
expresión  lntx  y?  significa  “el  agente  x  tiene  la  intención  de  que  jt  sea  verdadero”,  con  yt 
proposición.  Las  intenciones  son  vistas  en  MAS  como  inspiración  para  actividades.  Para  la 
lógica  de  intenciones  requerimos:  lntxyí  a  lntx(yi  -»  ®)  -»  lntx®  (distribución  de  intenciones), 
— .lntx_L  (consistencia  de  intenciones)  y  de  A  se  obtiene  lntxyi  (regla  de  generalización  para 
intenciones).  Las  intenciones  son  objetivos  seleccionados  por  el  agente  para  intentar 
convertirse  en  verdaderos. 
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Comentarios.  Belx,  Goalx  e  lntx  capturan  la  configuración  interna  de  un  agente.  Notemos 
que  estas  tres  lógicas  tienen  en  su  descripción,  cada  una,  una  instancia  del  esquema  general 
de  distribución  njt  a  □  (A  ®)  ->  m®  que  define  cierto  grado  básico  de  “racionalidad”  (notemos 
que  el  axioma  de  distribución  guarda  una  estructura  parecida  a  la  de  la  regla  modus  ponens). 
La  lógica  de  creencias  y  la  de  intenciones  tienen  ambas  el  axioma  de  consistencia,  pero  la  de 
objetivos  no.  Esto  se  asemeja  bastante  a  lo  que  nos  sucede  usualmente  a  los  seres  humanos, 
que  podemos  (y  solemos)  tener  objetivos  contradictorios;  pero  cuando  elegimos  objetivos  para 
que  sean  nuestras  intenciones  e  intentar  concretarlas  hacemos  esa  elección  de  intenciones  de 
modo  tal  que  no  se  contradigan  entre  sí. 

Notemos  que,  tal  como  está  presentada,  la  lógica  de  objetivos  no  es  más  que  una  colección 
de  modalidades  con  semántica  K  básica. 

En  el  área  de  MAS  normalmente  se  asimila  la  noción  de  “lo  que  el  agente  cree”  con  aquélla  de 
“lo  que  el  agente  sabe”,  como  un  modo  de  establecer  que  el  agente  efectivamente  cree  en  lo  que 
sabe,  esto  es,  que  lo  que  cree  y  lo  que  sabe  son  lo  mismo.  Sin  embargo,  en  otras  ocasiones, 
cuando  hay  que  distinguir  con  precisión  entre  lo  que  el  agente  sabe  y  lo  que  el  agente  cree,  se 
usa  la  lógica  llamada  eplstémlca  (vimos  un  ejemplo  al  principio  de  este  capítulo)  que  usa  la 
modalidad  Kx^,  para  representar  “el  agente  sabe  jf  (la  K  proviene  del  inglés  knows). 

A  continuación  presentamos  el  operador  Doesx.  A  diferencia  de  las  tres  modalidades 
anteriores,  este  operador  indica  el  actuar  visible,  externo ,  de  un  agente: 

Ejemplo.  Lógica  de  la  acción.  Doesxj?  representa  actividad  exitosa  del  agente  x.  Su  lectura 
intuitiva  es:  “el  agente  x  lleva  a  cabo  la  acción  A",  con  A  proposición.  La  lógica  del  Does  en  su 
definición  axiomática  tiene  los  esquemas:  Doesxyf  -+A,  (Doesx^  a  Doesx®)  -»  Doesx  (A  a  ®),  y 
-iDoesxT  (con  T  abreviatura  de  true).  El  primer  axioma  establece  efectividad  en  el  actuar:  si  el 
agente  x  lleva  a  cabo  la  acción  A,  entonces  A  sucede.  El  segundo  axioma,  conocido  como 
axioma  de  aglomeración,  se  refiere  a  la  cotemporalidad  implícita  en  la  lógica  modal 
proposiclonal:  si  el  agente  lleva  a  cabo  la  acción  A  y  lleva  a  cabo  la  acción  ®  entonces  el 
agente  lleva  a  cabo  las  dos  acciones  en  el  mismo  tiempo  (por  ejemplo,  “hizo  el  backup  del 
dispositivo  y  lo  apagó”).  El  tercer  axioma  de  algún  modo  formaliza  la  ¡dea  de  que  un  agente 
lleva  a  cabo  acciones  que  son  plausibles  y,  principalmente,  evitables.  La  noción  de  acción  es 
de  algún  modo  un  concepto  de  control:  ningún  agente  lleva  a  cabo  acciones  Inevitables,  y  las 
tautologías  son  inevitables  (intuitivamente  podemos  asumir  que  las  tautologías  “se  hacen 
solas”  sin  la  intervención  de  ningún  agente). 

Observación.  Si  bien  D.  Elgesem  acepta  el  axioma  de  aglomeración,  no  acepta  el  esquema 
inverso,  llamado  M:  Doesx(^i  a  ®)  (Doesxj?  a  Doesx  ®).  Esto  porque,  en  presencia  de 
sustitución  uniforme  por  equivalentes  lógicos,  a  partir  de  Doesx^  podemos  conseguir  la 
equivalencia  (Doesx  A)  <-»  (Doesx  A  a  (®  v  -i®)),  y  si  aplicamos  el  axioma  M  obtenemos 
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Doesx(^A  («v  -.®))  Doesxy?  a  Doesx(®v  -,«)  y  entonces  conseguimos  DoesxT  que  es  para 
Elgesem  contraintuitivo  en  una  lógica  de  la  acción,  contradice  el  axioma  -iDoesxT. 

Además,  M  junto  a  la  generalización  y  sustitución  de  equivalentes  nos  da  una  instancia  de  la 
paradoja  de  Ross,  tal  como  la  vimos  al  estudiar  la  lógica  deóntlca:  Doesxyt^  Doesx(yív  ®),  que 
es  Inaceptable  en  la  intuición  de  una  lógica  de  la  acción.  Dejamos  al  lector  esta  comprobación. 

Lógicas  no  normales.  En  su  definición  de  la  lógica  de  la  acción,  Elgesem  explica  que  Does 
no  puede  ser  un  operador  normal  porque  si  lo  fuera  entonces  su  comportamiento  no  sería  el 
que  esperamos  para  representar  acciones.  Veamos:  si  la  lógica  del  Does  fuese  normal 
entonces  fácilmente  la  podríamos  definir  como  una  extensión  de  K  agregándole  a  K  el  axioma 
de  éxito  Doesx  A  —>  A  (es  decir,  agregándole  a  K  el  esquema  modal  llamado  T)  pues  es  en 
virtud  de  este  único  axioma  que  la  lógica  refleja  lo  que  esperamos  del  actuar  de  un  agente: 
éxito  y  control  en  el  actuar.  Entonces  adoptaríamos  el  sistema  normal  KT  para  la  lógica  de  la 
acción.  Ahora  bien,  por  ser  normal  entonces  la  lógica  del  Does  verificaría  la  regla  de 
generalización  si  | —  y?  entonces  | —  Doesx  A  que  nos  lleva  a  derivar,  dentro  del  sistema,  la 
fórmula  DoesxT  (con  T  abreviatura  de  true)  que,  hemos  dicho,  no  queremos  que  sea  verdadera 
pues  las  cosas  que  son  factibles  de  ser  hechas  tienen  que  ser  evitables  y  no  tautologías.  Con 
lo  cual  la  regla  de  generalización  no  es  deseable  para  definir  una  lógica  de  la  acción.  Además, 
si  la  lógica  del  Does  fuese  normal,  verificaría  también  el  axioma  K  de  distribución:  Doesx(y?  -a-  ®) 
— >  (Doesxy?  -»  Doesx®)  lo  que  nos  permitiría  derivar,  por  ejemplo,  proposiciones  indeseadas 
para  una  lógica  de  la  acción,  tal  como  Does^  Doesx(y?  v  ®)  (esto  a  partir  del  teorema  A  -» 
(A  v  ®),  generalización,  axioma  K  de  distribución  y  modus  ponens).  Por  todo  esto  es  que 
Elgesem  decide  que  la  lógica  del  Does  no  puede  tener  una  semántica  modal  normal. 

Definición  3.14.  Lógica  modal  no  normal.  Una  lógica  modal  es  no  normal  cuando  no 
satisface  el  axioma  K  de  distribución  (ver  definiciones  3.7.b  y  3.8). 

Así  las  cosas,  los  modelos  de  Kripke  no  son  suficientes  para  dar  una  semántica  de  lógicas 
no  normales.  Tenemos  entonces  una  semántica  diferente,  llamada  de  tipo  Scott-Montague.  La 
intuición  detrás  de  esta  semántica  es  la  siguiente:  en  lugar  de  tener  una  relación  entre  mundos, 
tenemos  un  conjunto  de  colecciones  de  mundos  conectados  a  w.  Esas  colecciones  se  llaman 
neighbourhoods  o  vecindarios  de  w. 

Formalmente:  un  frame  de  Scott-Montague  es  un  par  ordenado  (W,N),  donde  W  es  un 
conjunto  (de  mundos,  puntos,  situaciones,  etc.)  y  N  es  una  función  que  asigna  a  cada 
elemento  iveWun  conjunto  de  subconjuntos  de  W  (los  neighbourhoods  de  w).  Un  modelo 
de  Scott-Montague  es  una  terna  (W,N,V),  donde  (W,N)  es  un  frame  de  Scott-Montague  y  V 
es  una  función  de  valuación  como  en  los  modelos  de  Kripke,  y  la  definición  de  verdad  en  w 
es:  □  A  es  verdadera  en  1/  si  y  solo  si  los  elementos  de  W  donde  A  es  verdadera  son  los 
conjuntos  de  N(w). 
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Esta  es  una  generalización  de  la  semántica  tradicional  de  Kripke.  Es  fácil  ver  que  un  frame  de 
Kripke  es  equivalente  a  un  frame  de  Scott-Montague  con  el  mismo  W  y  donde  N(w)  se  define 
como  {vi  wRv}.  Debe  quedar  claro  que,  por  el  contrario,  hay  frames  de  Scott-Montague  que  no 
se  corresponden  con  frames  de  Kripke.  Además,  lamentablemente,  hemos  perdido  el  paralelismo 
entre  □  y  0  y  los  cuantificadores  universal  y  existenclal  respectivamente,  paralelismo  que  sí  existe 
con  esos  cuantificadores  en  los  frames  de  Kripke. 

Lógicas  de  propósitos  especiales.  Comentarios.  En  los  sistemas  BDI  la  actividad  de 
un  agente  comienza  a  partir  de  objetivos.  Un  agente  tiene  en  general  muchos  objetivos, 
muchos  de  los  cuales  no  serán  perseguidos,  no  estarán  relacionados  con  acciones.  Esto 
permite  que  un  agente  pueda  comportarse  consistentemente  aún  cuando  tenga  objetivos 
inconsistentes.  Un  agente  elige  un  número  finito  de  sus  objetivos  para  que  sean  sus 
intenciones,  es  decir,  sus  motivaciones  para  actuar.  No  nos  resulta  relevante  cómo  una 
intención  se  forma  a  partir  de  un  conjunto  de  objetivos,  solo  nos  concentramos  en  el  hecho 
de  que  los  objetivos  son  elegidos  por  el  agente  de  modo  tal  que  se  preserve  consistencia 
(ver  el  axioma  de  consistencia  de  intenciones).  Un  problema  con  las  lógicas  modales 
estándar  para  creencias  (y  conocimiento)  es  que  los  agentes  son  formalizados  como 
omniscientes:  creen  en  todos  los  teoremas  así  como  en  las  consecuencias  lógicas  de  sus 
creencias.  Cualquier  lógica  modal  estándar  con  semántica  de  Kripke  en  la  que  se  modela 
creencia  como  un  operador  de  necesidad  tendrá  esta  propiedad.  El  problema  aquí  es  que 
la  omnisciencia  no  se  aplica  a  los  humanos,  que  tenemos  normalmente  poco  tiempo 
disponible  y  racionalidad  limitada,  es  irreal  asumir  que  creemos  en  cada  teorema  (¡los  hay 
muy  complicados!).  Finalmente,  la  lógica  del  Does  no  satisface  el  inverso  del  axioma  de 
aglomeración.  SI  lo  hiciese,  en  presencia  del  axioma  de  aglomeración  y  de  la  regla  de 
sustitución  uniforme  la  lógica  de  la  acción  se  volvería  inconsistente.  Dejamos  al  lector  la 
comprobación  de  ello. 

Discusión.  Dejamos  al  lector  la  lectura  intuitiva  de  cada  uno  de  los  axiomas  de  las  lógicas 
descriptas  para  creencias,  objetivos,  intenciones  y  acción. 

Creación  de  sistemas  multimodales  multiagente  BDI.  El  mecanismo  es,  desde  el  punto 
de  vista  ingenieril,  el  siguiente:  se  seleccionan  diferentes  lógicas  modales  específicas,  también 
llamadas  de  propósitos  especiales  o  de  propósito  determinado,  que  son  -casi  slempre- 
monomodales,  es  decir,  con  un  único  operador  modal,  con  o  sin  su  dual.  Se  las  combina  de 
algún  modo  y  se  obtiene  lo  que  se  llama  una  lógica  multimodal  resultante  de  la  combinación. 

Normalmente  se  unen  lógicas  específicas,  pues  tendría  poco  sentido  poner  a  trabajar  juntas 
lógicas  que  tengan  poder  expresivo  general. 
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Combinación  de  lógicas.  Combinar  lógicas  es  una  técnica  que  está  actualmente  en 
estudio  y  expansión,  inspirada  principalmente  en  el  interés  por  la  modularidad.  Permite  definir 
sistemas  formales  altamente  especializados.  ¿Ensamblar  lógicas  nos  ofrece  algo  nuevo?  La 
respuesta  es  sí:  no  hay  un  estudio  sistematizado  de  cómo  combinar  lógicas,  tampoco  hay  un 
cuerpo  establecido  de  resultados.  Lo  que  sí  existe  es  un  núcleo  de  nociones  y  combinaciones 
exitosas  que  han  surgido  para  una  clase  importante  de  lógicas. 

Por  un  lado,  como  intuimos,  existe  un  aspecto  ingenieril  o  de  diseño  que  nos  lleva  -como 
informáticos-  a  considerar  a  las  lógicas  pequeñas  como  bloques  o  unidades  de  manejo  de 
conocimiento  con  los  que  podemos  construir  sistemas  más  grandes:  podemos  reutilizar  los 
bloques,  montar  bloques  unos  con  otros,  sustituir  un  bloque  por  otro  con  iguales  o  mejores 
prestaciones.  Por  otro  lado,  debemos  prestar  atención  al  aspecto  “lógico”  de  la  combinación  o 
montaje  de  bloques  lógicos:  como  lo  que  estamos  combinando  son  lógicas  que  poseen 
determinadas  propiedades  que  seguramente  consideramos  ventajosas  por  algún  motivo  (como 
la  decidibilidad,  por  ejemplo)  pretendemos  que  las  lógicas  resultantes  conserven  las  buenas 
propiedades  de  sus  bloques  componentes. 

Los  lógicos  y  los  lógicos  computaclonales  que  se  dedican  a  estos  temas  llaman  a  dicha 
cuestión,  dice  C.  Areces,  el  problema  de  transferencia',  sean  A-i  y  A2  dos  lógicas  y  sea  P  una 
propiedad  que  las  lógicas  puedan  tener  (como  decidibilidad,  f.m.p.,  alguna  cota  de  complejidad, 
etc).  Si  ©  es  un  modo  de  combinar  y  A2,  ¿posee  A-i©A2  la  propiedad  P?  Es  importante 
resolver  algunos  problemas  de  transferencia  al  proponer  una  lógica  combinada.  Un  primer 
principio  relativo  a  transferencia  parece  indicar  que  si  no  hay  interacción  entre  las  lógicas  (es 
decir,  las  lógicas  no  comparten  símbolos  excepto  conectivos  booleanos),  la  propiedad  en 
cuestión  se  preserva.  Pero  aún  en  formas  leves  de  interacción  la  transferencia  de  propiedades 
puede  fallar. 

A  continuación  presentamos  sintaxis  y  semántica  para  un  MAS  diseñado  como  una  combinación 
de  lógicas  de  propósito  determinado:  ponemos  a  trabajar  juntas  las  lógicas  específicas  que  hemos 
presentado  para  creencias,  objetivos,  intención  y  acción.  Luego  de  describir  la  combinación 
comentamos  sobre  la  transferencia  de  propiedades  en  la  lógica  resultante. 

Lenguaje  de  un  sistema  multiagente  BDI.  Al  lenguaje  modal  básico  presentado 
anteriormente  le  agregamos  un  conjunto  finito  de  agentes  A  =  {x,  y,  z...}.  Las  expresiones 
complejas  son  construidas  del  modo  inductivo  usual  con  los  operadores  lógicos  clásicos  y  con 
los  operadores  unarios  modales  Belx,  lntx,  Goalxy  Doesx. 

Axiomas  “puente”.  Existen  relaciones  entre  creencias,  objetivos  e  intenciones  de  agentes, 
que  describimos  axiomáticamente  como:  Goalx  y?  Belx(Goalxy?)  (introspección  positiva  de 
objetivos),  lntxyi^  Belx(lntxyt)  (introspección  positiva  de  intenciones),  -iGoalxyí^  Belx(-,Goalxy?) 
(introspección  negativa  de  objetivos),  — .lntx  yt  Belx( — .lntx  jf)  (introspección  negativa  de 
intenciones),  e  lntx¿f^  Goalx^i  (intención  implica  objetivo). 
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Los  axiomas  que  expresan  interdependencias  entre  las  creencias  y  las  actitudes 
motivacionales  (objetivos  e  intenciones)  permiten  ver  que  los  agentes  son  conscientes  de  los 
objetivos  e  intenciones  que  tienen,  así  como  de  los  que  no  tienen.  Así  como  los  hemos 
definido,  los  axiomas  para  actitudes  motivacionales  y  sus  aspectos  combinados  son  mínimos 
en  el  sentido  de  que  pretendemos  manejarnos  con  condiciones  necesarias  y  suficientes,  tal 
como  los  definen  B.  Dunnin-Keplickz  y  R.  Verbrugge.  Notemos  que  no  hay  axiomas  de 
“realismo  fuerte”  como  puede  considerarse  a  los  axiomas  Goalxyí^  Belxy?  e  lntxy?^  Belxy?que 
corresponderían,  por  ejemplo,  a  las  ideas  de  que  un  agente  cree  que  puede  alcanzar  sus 
objetivos  e  intenciones  mediante  la  elección  cuidadosa  de  sus  acciones. 

Tengamos  en  cuenta,  de  todos  modos,  que  aspectos  adicionales  de  creencias,  deseos  e 
intenciones  siempre  pueden  modelarse  agregando  nuevos  axiomas  y  creando  extensiones  más 
refinadas  de  estas  lógicas  mínimas. 

Expresividad  del  sistema.  Restricción.  Solamente  a  los  efectos  de  facilitar  la  presentación 
técnica  de  MAS  como  una  combinación  de  lógicas,  establecemos  la  siguiente  restricción:  una 
fórmula  de  la  forma  Doesxyi  siempre  es  aplicada  a  átomos  que  representan  acciones  simples 
(por  ejemplo  “comprar”,  “vender”,  “contestar”).  Ejemplo:  Belx(Doesy  ‘Pagar’)  intuitivamente  se 
lee  “el  agente  x  cree  que  el  agente  y  paga”.  Con  esta  restricción  los  operadores  modales 
normales  interactúan  con  el  operador  Does  de  una  manera  limitada:  no  es  posible  escribir 
fórmulas  como  Doesx(Doesy ‘Pagar’)  o  como  Doesx(Goalyyi)  (que  puede  ser  vista  como  una 
forma  de  persuasión:  “el  agente  x  hace  que  el  agente  y  tenga  a  jl  como  objetivo”).  Esta 
restricción  no  impide  que,  en  otras  configuraciones  diferentes  para  otros  MAS  algunos 
operadores  puedan  aparecer  dentro  del  alcance  de  un  Does. 

Semántica  del  sistema  muitiagente.  La  estructura  del  sistema  multlagente  es  una 
extensión  de  la  definición  de  frame  dada  en  la  primera  sección: 

<F=(A,W,  {B¡}ieA,  {G¡}íeA,  {l¡}  ¡eA,  {DJieA) 


donde: 

•  A  es  un  conjunto  finito  de  agentes. 

•  W  es  un  conjunto  de  situaciones,  o  mundos. 

•  {B¡}¡eA  es  un  conjunto  de  relaciones  de  accesibilidad  para  los  operadores  de  creencias  Belx 
(hay  un  operador  para  cada  agente,  por  lo  tanto  tenemos  una  relación  de  accesibilidad 
para  cada  uno  de  esos  operadores).  Las  relaciones  de  accesibilidad  B¡  son  transitivas 
(cumplen  Vxyz  (Rxy  a  Ryz)  Rxz),  euclideanas  (cumplen  Vxyz  (Rxy  a  Rxz)  — >  Ryz)  y 
seriales  (sin  límite  a  derecha,  como  las  deóntlcas).  Los  frames  con  estas  características 
son  precisamente  los  que  quedan  deteminados  por  los  axiomas  que  definen  a  la  lógica  de 
las  creencias  (por  ello  a  la  lógica  de  creencias  se  la  llama  de  tipo  KD45). 
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•  {G¡}ieA  es  el  conjunto  de  relaciones  de  accesibilidad  para  cada  uno  de  los  operadores  de 
objetivos  Goalx,  cuya  semántica  es  de  necesidad  estándar,  K  (definición  3.8). 

•  {lj}¡eA  es  el  conjunto  de  relaciones  de  accesibilidad  respecto  de  los  operadores  de 
intenciones  lntx,  relaciones  que  son  seriales  (la  lógica  de  intenciones  es  KD,  como  la 
deóntica). 

•  {D¡}ieA  es  una  familia  de  conjuntos  de  relaciones  de  accesibilidad  para  los  operadores 
Does,  relaciones  que  son  reflexivas,  seriales,  y  satisfacen  ciertas  condiciones  especiales 
de  clausura  (descrlptas  en  On  the  Axiomatisation  of  Elgesem's  Logic  for  Agency  and 
Ability,  de  G.  Governatori  y  A.  Rotolo). 


Finalmente,  definimos  un  modelo  para  nuestros  sistemas  multiagente  como  una  estructura 
de  la  forma  m  =  (í;V)  en  que: 

•  res  un  frame  como  definimos  más  arriba,  y 

•  V  es  una  función  de  valuación  definida  como  sigue: 

i.  condiciones  booleanas  estándar 

ii.  V(w,  Bel¡  A)  -  true  si  y  solo  si  Vv  (si  B¡i/vv  entonces  V(v,jl)  -  true) 

iii.  V(w,  Goal,  j4)  =  true  si  y  solo  si  Vv  (si  G¡wv  entonces  \/{v,jf)  =  true) 

iv.  V(w,  lnt¡  y?)  =  true  si  y  solo  si  Vv  (si  l¡wv  entonces  V(v,jt)  =  true) 

v.  V(w,  Does¡  y?)  =  true  si  y  solo  si  3  ®,e  D¡  tal  que  Vv  (®,i/vv  sii  V(v,jl)  =  true) 

V  está  definida  como  para  los  modelos  de  Krlpke  excepto  para  los  operadores  Does:  la 
fórmula  Does¡yt  es  verdadera  en  w  si  y  solo  si  existe  un  vecindario  ®,  de  w,  ®,  e  D¡  (con  D¡ 
conjunto  de  todos  los  vecindarios  de  w)  en  el  que  la  fórmula  ^  es  verdadera. 

Evaluación  de  fórmulas.  Navegación  dentro  del  frame.  Notemos  que  es  posible 
identificar  dos  “redes”  de  relaciones  sobre  W.  La  primera  red,  tal  como  está  definido  r, 
corresponde  al  “cableado”  de  los  operadores  normales.  La  segunda  red  corresponde  a  las 
relaciones  de  accesibilidad  para  las  modalidades  Does.  Podemos  representar  gráficamente  a  T 
como  si  hubiese  un  frame  de  Kripke  “exterior”,  y  frames  de  Scott-Montague  “interiores”: 


-►  frame  de  Kripke 


frames  de  Scott-Montague 


Viéndolo  de  este  modo,  la  intuición  detrás  de  la  evaluación  de  las  fórmulas  en  el  sistema 
multiagente  es  la  siguiente:  cuando  parseamos  una  fórmula  navegamos  por  el  modelo  de  Kripke 
“exterior”  hasta  que  una  subfórmula  que  comienza  con  el  operador  Does  aparece  para  ser 
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evaluada.  Ahí  nos  “metemos”  en  un  modelo  de  Scott-Montague.  Evaluamos  la  subfórmula  Does  en 
el  modelo  de  Scott-Montague  y  sustituimos  en  la  fórmula  original  la  subfórmula  del  Does  con  el 
resultado  de  esta  evaluación  (la  sustitución  la  haremos  con  algún  objeto  que  pertenezca  al  dominio 
de  los  modelos  de  Krlpke  tal  como  una  variable  proposlcional  o  un  valor  de  verdad)  y  continuamos 
con  la  evaluación  que,  de  algún  modo,  en  este  punto,  ha  sido  “homogeneizada”. 

Fibrado.  El  modo  en  el  que  hemos  reorganizado  la  vista  gráfica  de  nuestro  MAS  como  un 
frame  de  Krlpke  “exterior”  y  frames  de  Scott-Montague  “interiores”  se  corresponde  con  la 
técnica  de  combinación  de  lógicas  llamada  fibrado.  La  estructura  fibrada  resultante  se  define 
como  una  función  fibrada  fA1iA2,  una  función  total  que  asigna  a  cada  elemento  we  swA1  un 
modelo  5WA2,  con  swA1  y  ífíA2  modelos  de  las  lógicas  A!  y  A2  respectivamente  (la  de  Kripke  y  la  de 
Scott-Montague).  Así,  una  expresión  del  lenguaje  l2  de  la  lógica  A2  es  evaluada  en  jwa1  -donde 
es  indefinida-  a  través  de  fAi,A2(w). 

La  restricción  de  expresividad  que  Impusimos  sobre  el  uso  del  Does  (C.  Smlth  y  A.  Rotolo) 
en  este  MAS  favorece  el  fibrado  presentado,  ya  que  las  lógicas  fueron  puestas  a  trabajar  de 
una  manera  simple  y  de  modo  tal  que,  luego,  el  algoritmo  de  evaluación  de  fórmulas  no  resulta 
complejo:  se  trabaja  en  un  modelo  para  lógicas  normales,  cuando  se  encuentra  un  Does  se 
evalúa  la  subfórmula  en  un  modelo  no  normal.  Hemos  dicho  que  es  posible  definir  otros  MAS 
donde  los  operadores  modales  sí  pueden  aparecer  dentro  del  Does,  por  ejemplo  donde  sea 
posible  escribir  y  evaluar  fórmulas  del  tipo  Doesx(Goalyyt).  En  ellos  se  aplican  otras  técnicas  de 
combinación  de  lógicas  y  otros  algoritmos  de  evaluación  de  fórmulas. 

Completitud.  La  lógica  resultante  de  la  combinación  de  lógicas  específicas  tal  como  fue 
presentada  es  completa.  Para  ello  es  suficiente  construir  un  modelo  canónico  para  dicha 
combinación  y  establecer  que  la  lógica  es  fuertemente  completa  con  respecto  al  modelo 
canónico.  La  prueba  de  completitud  para  la  porción  no  normal  de  la  lógica  es,  como  imaginamos, 
intrincada,  una  muy  clara  exposición  de  la  prueba  de  completitud  de  una  lógica  no  normal  Does 
aparece  en  la  tesis  de  grado  de  F.  Carbonari,  publicada  por  la  Universidad  de  La  Plata. 

Decidibilidad.  SI  las  lógicas  componentes  son  decidióles,  es  posible  que  la  combinación 
resultante  también  lo  sea.  La  lógica  del  Does  posee  la  f.m.p.,  y  las  lógicas  monomodales  que 
usamos  también.  La  lógica  resultante  de  la  combinación  de  las  lógicas  también  es  decidióle. 
Dejamos  al  lector  el  armado  de  la  prueba,  que  es  larga  pero  no  demasiado  compleja. 

Complejidad.  La  lógica  combinada  presentada,  a  pesar  de  ser  decidióle,  es  EXPTIME 
completa  (su  problema  de  decisión  tiene  tiempo  de  ejecución  exponencial,  y  otros  problemas 
en  la  misma  clase  de  problemas  pueden  reducirse  al  mismo).  Existen  algunas  técnicas  para 
reducir  esta  complejidad,  como  por  ejemplo  limitar  la  profundidad  de  fórmulas  modales, 
poniendo  un  límite  a  la  cantidad  de  operadores  modales  que  pueden  aparecer  en  las 
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subfórmulas  de  una  fórmula.  M.  Dziubinski,  R.  Verbrugge  y  B.  Dunnin-Keplicz  han  hecho 
algunas  propuestas  para  el  tratamiento  de  la  complejidad  en  MAS. 

Extensiones  para  la  lógica  combinada.  Podemos  extender  sin  mayores  conflictos  el  MAS 
que  hemos  presentado  con  el  operador  deóntlco  de  obligaciones  O.  También  podríamos 
hacerlo  con  una  lógica  temporal.  Por  ejemplo,  temporalizar  la  lógica  presentada  se  reduce 
simplemente  a  montar  sobre  el  MAS  la  maquinaria  temporal  con  el  mismo  espíritu  con  el  que 
visualizamos  la  maquinarla  normal  organizada  sobre  la  no  normal.  Este  fibrado  ha  sido 
descripto  en  un  trabajo  conjunto  con  A.  Rotolo,  A.  Ambrosio  y  L.  Mendoza,  lo  puntualizamos 
brevemente  a  continuación.  Consideremos  el  modelo  (7;<,g,to),  entonces  tenemos  un  frame 
“externo”  (T<)  que  se  corresponde  con  la  línea  de  evolución  temporal,  y  t0es  el  instante  inicial 
de  tiempo.  El  sistema  evoluciona  en  el  sentido  de  que  nuevos  grupos,  creencias,  relaciones  y 
obligaciones  se  van  creando  y  también  desarmando  a  lo  largo  del  tiempo.  Así,  g  es  la  función 
total  que  para  cada  punto  t¡  de  la  línea  temporal  “trae”  un  modelo  M  (como  el  definido  más 
arriba)  para  evaluar. 


Ejercicios 

1 .  Sea  el  siguiente  frame: 


b 


a  c 


Se  sabe  que  la  fórmula  p  es  verdadera  en  el  mundo  b  y  que  la  fórmula  q  es  verdadera  en 
los  mundos  a  y  c.  Demostrar  si: 
i.  ap  es  verdadera  en  a 
¡I.  Op  es  verdadera  en  a 
iii.  p  v  oq  es  verdadera  en  b 
¡v.  aq  Op  es  verdadera  en  b 

2.  Probar  que  la  fórmula  ap  Op  de  la  lógica  modal  no  es  válida  en  la  clase  de  todos 
los  frames. 

3.  Probar  que  la  fórmula  (op  a  nq  )  -»  □  (pAq)  es  válida  en  la  clase  de  todos  los  frames. 
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4.  Simbolizar  utilizando  los  operadores  deóntlcos  O,  P,  F  de  obligación,  permiso  y  prohibición 
según  convenga.  Algunas  de  las  sentencias  no  tienen  carácter  deóntlco,  indicar  cuáles. 

i.  El  lector  devolverá  el  libro  en  15  días  hábiles.  SI  el  lector  devuelve  el  libro  en  15  días 
hábiles,  no  se  le  aplicará  el  apercibimiento  administrativo  del  artículo  20.  Si  el  lector  no  devuelve 
el  libro  en  15  días  hábiles,  se  le  aplicará  el  apercibimiento  administrativo  del  artículo  20. 

¡I.  Un  círculo  no  puede  ser  cuadrado. 

iii.  Juan  promete  pagarle  a  Pedro  $  50. 

iv.  Juan  firma:  “Prometo  pagarle  a  Pedro  $  50”. 

v.  Juan  se  pone  así  mismo  bajo  la  obligación  de  pagarle  a  Pedro  $  50. 

vi.  Juan  está  obligado. 

vii.  Juan  debe  pagar  a  Pedro  $  50. 

viii.  Fumar  es  perjudicial  para  la  salud. 

ix.  Prohibido  fumar. 

x.  Puede  besar  a  la  novia. 

xi.  Es  obligatorio  que  lleves  esta  carta  al  correo.  Por  lo  tanto,  es  obligatorio  que  o  lleves 
esta  carta  al  correo  o  la  quemes. 

xii.  Tienes  permitido  o  bien  llevar  la  carta  al  correo  o  bien  quemarla. 

xiii.  Debe  haber  paz  en  el  mundo. 

xiv.  Está  prohibido  matar.  Por  lo  tanto,  están  prohibidos  ámbos  matar  y  arrepentirse. 

5.  Suponer  que  la  expresión  Op  significa  “p  es  tolerable”. 

I.  ¿Cuál  es  la  lectura  intuitiva  del  dual  □  si  definimos  ap  =  — ,0 — .p? 

¡I.  Se  quiere  formalizar  un  sistema  moral  (soclal/rellgloso/mafloso/de  etiqueta  y 
ceremonial,  etc.)  que  captura  esta  interpretación  de  ó  y  □.  Listar  fórmulas  que  puedan 
considerarse  principios  lógicos  para  el  sistema.  Por  ejemplo:  Op  v  Oq  ^  0(p  v  q). 

iii.  Simbolizar  la  proposición  “si  algo  sucede,  entonces  es  tolerable”.  ¿La  incluiríamos 
como  principio  lógico  en  la  lista  previa?  Fundamentar. 

iv.  ¿Incluiríamos  la  fórmula  □(□p  p)  -»  mp  en  la  lista  de  principios?  Fundamentar.  ¿Cuál 
es  su  lectura  intuitiva? 

v.  ¿Y  p->  nOp?  Fundamentar.  ¿Cuál  es  su  lectura  intuitiva? 

vi.  ¿Cómo  se  modela  en  este  sistema  el  comportamiento  altruista? 

6.  Se  quiere  formalizar  lógicamente  la  coexistencia  de  un  sistema  de  la  tolerancia 
caracterizado  como  en  el  inciso  previo  con  los  operadores  □  y  0  y  un  sistema  de  normas 
jurídicas  caracterizado  por  los  operadores  O,  P,  y  F,  donde  O  tiene  una  semántica  de 
necesidad,  P  de  posibilidad  y  Fp  =  -,Pp.  Simbolizar  las  proposiciones  a  continuación,  y 
determinar  (fundadamente)  para  cada  una  de  ellas  si  constituyen  o  no  principios  lógicos  de 
esta  coexistencia  de  sistemas  normativos. 
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i.  Lo  tolerable  está  permitido.  (Pensar  en  el  robo  de  la  señal  de  cable.) 

¡I.  SI  algo  está  permitido,  es  tolerable.  (Pensar  en  sistemas  morales  que,  por  ejemplo, 
legitiman  el  aborto,  ¿qué  pasa  con  los  sectores  que  están  bajo  esas  normas  pero  en 
contra  de  esa  práctica?) 

iii.  SI  algo  está  permitido,  entonces  es  obligatorio  tolerarlo.  (Pensar  en  el  derecho  a 
huelga,  manifestaciones,  etc.) 

¡v.  SI  algo  está  prohibido,  es  obligatorio  no  tolerarlo.  (Idem  anterior.) 

7.  ¿Cómo  se  enuncian  en  lenguaje  natural  las  siguientes  proposiciones  de  la  lógica 
combinada  de  normas/tolerancia  del  ítem  previo?  ¿Constituyen  principios  de  la 
coexistencia  de  ambas  lógicas?  Fundamentar. 

I.  Op  -» Op 
¡I.  ap  — >  üOp 

iii.  Op  O(OOp) 

iv.  -,(Pp  -»  op) 

8.  Formalizar  las  siguientes  reglas  de  comportamiento  con  los  operadores  de  obligación, 
permiso  y  prohibición  O,  P,  y  F. 

De  las  conductas  indecorosas  en  la  mesa  de  mi  señor: 

(Texto  anónimo,  aunque  atribuido  a  Leonardo  Da  Vinci,  quien  trabajó  para  los  Médici, 
ca.1600) 

Estos  son  (algunos  de)  los  hábitos  indecorosos  que  invitados  a  la  mesa  de  mi  señor  no 
deben  cultivar  (y  baso  esto  en  mi  observación  de  aquéllos  que  frecuentaron  la  mesa  de  mi 
señor  durante  el  año  pasado). 

Ningún  invitado  ha  de  sentarse  sobre  la  mesa,  ni  de  espaldas  a  la  mesa,  ni  sobre  el 
regazo  de  cualquier  otro  invitado. 

Tampoco  ha  de  poner  la  pierna  sobre  la  mesa. 

Tampoco  ha  de  sentarse  bajo  la  mesa  en  ningún  momento. 

No  ha  de  limpiar  su  armadura  sobre  la  mesa. 

No  ha  de  tomar  comida  de  la  mesa  y  ponerla  en  su  bolso  o  faltriquera  para 
después  comerla. 

No  ha  de  hacer  figuras  modeladas  ni  prender  fuegos  ni  adiestrarse  en  hacer  ruidos  en 
la  mesa  (a  menos  que  mi  señor  se  lo  pida). 

No  ha  de  tocar  el  laúd  o  cualquier  otro  instrumento  que  pueda  ir  en  perjuicio  de  su 
vecino  de  mesa  (a  menos  que  mi  señor  se  lo  pida). 

No  ha  de  cantar,  ni  hacer  discursos,  ni  vociferar  improperios  ni  tampoco  proponer 
acertijos  obscenos  si  está  sentado  frente  a  una  dama. 

No  ha  de  conspirar  en  la  mesa  (a  menos  que  lo  haga  con  mi  señor). 

Tampoco  ha  de  prender  fuego  a  su  compañero  mientras  permanezca  en  la  mesa. 

No  ha  de  golpear  a  los  sirvientes  (a  menos  que  sea  en  defensa  propia). 
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9.  Algunas  de  las  reglas  previas  de  decoro  en  la  mesa  tienen  contenido  temporal. 
Identificarlas  y  modelarlas  en  el  contexto  de  una  lógica  deóntlca  que  se  ha  combinado  con 
una  temporal  que  tiene  los  operadores  Py  F  para  simbolizar  “en  el  pasado”  y  “en  el  futuro”. 

10.  Manejamos  un  lenguaje  modal  proposlclonal  fundado  sobre  un  conjunto  finito  A  de  agentes 
y  un  conjunto  numerable  de  proposiciones,  denotadas  con  p,  q,  r,...  Expresiones  complejas 
se  forman  sintácticamente  a  partir  de  ellas,  en  el  modo  Inductivo  usual,  usando  un  operador 
_L,  el  operador  binario  v,  y  modalidades  unarias  O  y  Doesx  (donde  el  subíndice  corre  sobre 
el  conjunto  de  agentes).  Como  el  comportamiento  proposlclonal  de  esta  lógica  es  clásico, 
asumimos  que  T,  v,  se  definen  del  modo  usual.  El  operador  Does  debe  entenderse  para 
representar  éxito  en  el  actuar.  En  esta  lógica  combinada,  formalizar  algunas  reglas  de 
decoro  en  la  mesa  del  ejercicio  8. 

11.  Se  tiene  una  lógica  multiagente  que  provee  el  operador  Does.  Para  las  siguientes  fórmulas, 
dados  dos  agentes  x  e  y  cualesquiera,  dar  su  lectura  intuitiva: 

I.  Doesx  A  (Doesx(Doesxyt)) 
ii.  (Doesy(Doesx^))  ^  DoeSyyt 

Indicar  si  la  última  fórmula  puede  ser  considerada  un  principio  axiomático  de  una  lógica 
de  la  acción.  Fundamentar. 

12.  La  noción  de  abstención  dice  que  un  agente  se  abstiene  de  hacer  algo  si  y  solo  si  puede 
hacerlo  pero  no  lo  hace.  Definir  la  noción  de  abstención  usando  una  lógica  multiagente  con 
los  operadores  deóntlcos  usuales  combinados  con  el  operador  de  la  acción  Doesxy?. 

13.  Estudiar  el  impacto  de  los  teoremas  OT  y  DoesxT  en  las  semánticas  pretendidas  para  las 
lógicas  deóntlca  y  de  la  acción,  respectivamente.  Comparar  los  esquemas  de  axioma  -.OT 
de  la  lógica  deóntlca  (que  von  Wright  acepta  en  su  sistema  original)  y  ~iDoesx  T  de  la  lógica 
de  la  acción. 

14.  Probar  que  la  fórmula  de  la  lógica  eplstémlca  -’K®)  (K®  Kj)  es  una  verdad 

lógica  más  allá  de  su  contenido  eplstémlco.  Ofrecer  su  lectura  intuitiva  en  lenguaje  natural. 
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CAPÍTULO  4 
Lógica  de  programas 

Ricardo  Rosenfeld 


Introducción 

Estudiadas  previamente  las  lógicas  de  proposiciones,  de  predicados  y  modal,  en  este  último 
capítulo  del  libro  nos  basamos  en  ellas  para  tratar,  de  una  manera  bastante  elemental,  la 
verificación  de  programas.  Introducimos  la  verificación  axiomática  de  programas.  Siguiendo  el 
formato  de  los  capítulos  anteriores,  desarrollamos  los  contenidos  en  el  marco  de  lógicas  esta 
vez  de  programas  (o  teorías  de  programación),  y  de  este  modo  también  consideramos  fórmulas 
bien  formadas,  con  sintaxis  y  semánticas  determinadas,  axiomas,  reglas  de  inferencia, 
pruebas,  nociones  de  satisfactibilidad,  sensatez,  completltud,  etc. 

La  aproximación  natural  de  la  verificación  de  programas  por  la  vía  operacional,  es  decir 
semántica,  resulta  prohibitiva  para  programas  complejos,  sobre  todo  concurrentes,  cuando  hay 
numerosas  computaciones  y  propiedades  a  probar.  Una  alternativa  es,  entonces,  la  verificación 
axiomática,  sintáctica,  muy  difundida  y  cada  vez  con  mayor  soporte  herramental,  que  plantea 
métodos  de  prueba  con  axiomas  y  reglas  de  inferencia  asociados  a  las  instrucciones  de  los 
lenguajes  de  programación,  permitiendo  probar  la  correctitud  de  un  programa  de  la  misma 
manera  que  se  prueba  un  teorema.  Las  pruebas  son  guiadas  en  muchos  casos  por  la 
estructura  de  los  programas.  Esta  aproximación  también  puede  emplearse  como  base  para  una 
metodología  de  desarrollo  sistemático  de  programas,  para  construir  un  programa 
simultáneamente  con  su  prueba  de  correctitud. 

Estructuramos  el  capítulo  en  dos  partes,  una  dedicada  a  la  verificación  de  los  programas  de 
entrada/salida,  y  la  otra  a  la  verificación  de  los  programas  reactivos,  en  los  que  no  hay  una 
noción  de  terminación  sino  de  interacción  permanente  con  el  entorno.  A  su  vez,  la  verificación 
de  los  programas  de  entrada/sallda  se  trata  a  lo  largo  de  tres  secciones,  considerando  distintos 
paradigmas,  desde  el  más  simple  que  es  el  secuencia I  determinístico,  pasando  por  el 
secuencia I  no  determinístico,  y  llegando  al  más  complejo  que  es  el  concurrente. 

En  todos  los  casos  trabajamos  con  lenguajes  de  programación  muy  representativos,  los 
lenguajes  imperativos.  Por  lo  tanto  tratamos  con  variables,  instrucciones  de  asignación, 
secuencias  de  instrucciones,  estados,  etc.  Para  facilitar  la  exposición  simplificamos 
notoriamente  la  complejidad  de  los  lenguajes;  por  ejemplo,  consideramos  solamente  variables 
de  tipo  entero  y  booleano,  y  no  incluimos  procedimientos.  Además,  para  estudiar  los  distintos 
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paradigmas  en  un  marco  lo  más  unificado  posible,  los  lenguajes  de  programación  que 
utilizamos  de  la  segunda  sección  en  adelante  son  extensiones  del  que  utilizamos  en  la  primera. 

Mientras  que  para  la  verificación  de  los  programas  de  entrada/salida  recurrimos  a  la  lógica 
clásica  de  primer  orden  (segundo  capítulo  del  libro),  la  verificación  de  los  programas  reactivos 
la  desarrollamos  utilizando  lógica  temporal,  una  de  las  instanciaciones  posibles  de  la  lógica 
modal  (tercer  capítulo),  considerando  sus  fragmentos  tanto  proposicional  como  de  primer 
orden,  que  para  esta  última  familia  de  programas  es  más  adecuada.  En  todos  los  casos, 
también  para  facilitar  la  exposición,  trabajamos  con  el  dominio  semántico  o  interpretación  de 
los  números  enteros. 

En  una  serle  de  notas  cerrando  el  capítulo  (ver  al  final  las  Referencias  y  notas) 
profundizamos  en  distintos  aspectos  de  lo  tratado.  Las  dejamos  para  lo  último  para  evitar 
desviar  al  lector  del  camino  principal,  bien  introductorio,  que  nos  hemos  planteado. 


Lógica  de  programas  de  entrada/salida 

Empezamos  el  estudio  de  la  verificación  axiomática  de  programas  con  los  programas  de 
entrada/salida.  Vamos  a  plantear  distintas  lógicas  de  programas,  todas  con  fórmulas  de  la 
forma  {p}  S  {q}  y  (p)  S  (q),  siendo  S  un  programa,  escrito  en  un  determinado  lenguaje  de 
programación,  y  el  par  (p,  q)  una  especificación  de  S,  siendo  p  la  condición  inicial  de  S,  su 
precondición,  y  q  la  condición  final  de  S,  su  postcondición.  Las  fórmulas  se  conocen  como 
fórmulas  de  correctitud,  y  también  como  ternas  de  Hoare  (C.  Hoare  fue  el  creador  de  esta 
aproximación).  Las  condiciones  p  y  q  son,  a  su  vez,  fórmulas  de  primer  orden  interpretadas 
en  el  dominio  de  los  números  enteros.  Informalmente  (precisamos  en  la  siguiente  sección), 
la  fórmula  {p}  S  {q}  establece  que  si  el  programa  S  se  ejecuta  cuando  se  cumple  la 
precondición  p,  y  termina,  entonces  al  final  se  cumple  la  postcondición  q.  Por  ejemplo 
tenemos  la  siguiente  fórmula: 


{x  =  0}  x  :=  x  +  1  {x  =  1} 


En  este  caso  se  dice  que  el  programa  S  es  parcialmente  correcto  con  respecto  a  la 
especificación  (p,  q).  Por  su  parte,  (p)  S  (q)  establece  que  si  S  se  ejecuta  cuando  se  cumple  p, 
entonces  termina  y  al  final  se  cumple  q.  En  este  otro  caso  se  dice  que  el  programa  S  es 
totalmente  correcto  con  respecto  a  la  especificación  (p,  q).  Por  ejemplo  vale  lo  siguiente: 

(x  =  10)  while  x  #  0  do  x  :=  x  -  1  od  (x  =  0) 

Las  expresiones  parcialmente  correcto  y  totalmente  correcto  provienen  de  la  matemática,  se 
relacionan  con  las  funciones  parciales  y  totales,  definidas  para  algunos  y  todos  los  elementos 
de  sus  dominios,  respectivamente.  La  idea  así  es  asociar  a  un  programa  que  no  siempre 
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termina  con  una  función  parcial,  y  a  un  programa  que  siempre  termina  con  una  función  total. 
Los  dos  casos  de  correctitud  se  consideran  por  separado  porque  para  probarlos  se  debe 
recurrir  a  métodos  de  verificación  distintos.  Como  la  correctitud  total  implica  la  correctitud 
parcial,  en  la  práctica  esta  separación  se  traduce  en  una  prueba  de  correctitud  parcial  y  una 
prueba  de  terminación,  a  partir  de  una  misma  precondición.  Posteriormente,  con  ejemplos 
concretos,  se  aclara  más  este  tema. 

Las  secciones  que  describen  la  verificación  de  programas  considerando  los  distintos 
paradigmas  referidos  previamente,  presentan  básicamente  la  misma  secuencia  de 
presentación:  (a)  la  sintaxis  y  semántica  de  las  fórmulas  de  correctitud,  (b)  los  métodos 
axiomáticos  para  probarlas  y  ejemplos  sencillos  de  aplicación,  y  (c)  comentarios  con  mayor  o 
menor  nivel  de  detalle  sobre  la  sensatez  y  completitud  de  los  métodos,  propiedades  ya 
referidas  en  los  capítulos  anteriores.  Repasando,  estas  dos  propiedades  se  definen  de  la 
siguiente  manera.  Un  método  es  sensato  si  toda  fórmula  demostrada  a  partir  de  sus  axiomas  y 
reglas  es  verdadera  (recordar  que  tratamos  con  la  interpretación  de  los  números  enteros).  Ya 
sabemos  lo  que  significa  que  {p}  S  {q}  sea  verdadera:  si  S  termina  a  partir  de  p,  entonces  al 
final  se  cumple  q.  También  lo  sabemos  para  el  caso  de  (p)  S  (q).  Como  de  costumbre,  esta 
visión  semántica  la  expresamos,  respectivamente,  con  las  notaciones: 

1=  {Pl  S  {q}  y  |=  <p>  S  <q) 


así  como  las  notaciones: 


I  ma  {p}  S  {q}  y  I  ma*  <P>  S  <q) 

expresan  que  dichas  fórmulas  de  correctitud  se  prueban  mediante  los  métodos  axiomáticos 
o  sistemas  deductivos  MA  y  MA*  (como  estándar  utilizamos  al  final  del  nombre  de  los  métodos 
de  prueba  de  correctitud  total  el  símbolo  *).  El  símbolo  |=  lo  utilizamos  sin  subíndice  porque 
hemos  fijado  con  qué  interpretación  trabajaremos.  Recíprocamente,  un  método  es  completo  si 
toda  fórmula  verdadera  puede  ser  demostrada  a  partir  de  sus  axiomas  y  reglas.  En  síntesis,  la 
sensatez  de  un  método  de  prueba  de  correctitud  parcial  MA  y  de  un  método  de  prueba  de 
correctitud  total  MA*  establece,  respectivamente,  que  para  todo  S,  p,  q: 

I  ma  {p}  S  {q}  |=  {p}  S  {q}  y  |-MA*  <P>  S  <q)  |=  (p)  S  (q) 

Mientras  que  la  completitud  de  un  método  de  prueba  de  correctitud  parcial  MA  y  de  un 
método  de  prueba  de  correctitud  total  MA*  establece,  respectivamente,  que  para  todo  S,  p,  q: 

1=  {Pl  S  {q}  |  ma  {p}  S  {q}  y  |=  (p)  S  (q)  |-MA*  (p)  S  (q) 
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Notar  que  no  se  definen  fórmulas  de  correctitud  negadas,  por  lo  que  no  se  considera  la 
posibilidad  de  que  un  método  sea  inconsistente,  es  decir  que  permita  que  se  prueben  fórmulas 
contradictorias. 


Programas  secuenciales  determinísticos 

Sintaxis  de  las  fórmulas  de  correctitud 

De  acuerdo  al  esquema  definido  previamente,  describimos  primero  la  sintaxis  de  las 
fórmulas  de  correctltud  {p}  S  {q}  y  (p)  S  (q)  que  vamos  a  considerar  en  esta  sección. 

Sintaxis  del  lenguaje  de  especificación 

La  sintaxis  de  las  condiciones  p  y  q,  que  conforman  la  especificación  de  un  programa,  ya  la 
conocemos  en  general,  corresponde  a  la  de  fórmulas  de  primer  orden.  En  el  caso  genérico  de 
una  condición  p,  su  definición  inductiva  es: 

p  ::  true  |  false  |  ei  =  e2 1  ei  <  e2 1  ei  >  e2 1  ...  |  -,p  |  Pi  v  p2 1  Pi  a  p2 1  ...  |  3x:p  |  Vx:p 
e  ::  m  |  x  |  ei  +  e2 1  e-i  -  e2 1  e-i .  e2 1  . . .  |  if  B  then  ei  else  e2  fi 
B  ::  true  |  false  |e1  =  e2|e1<e2|e1>e2|  ...  |-,B|B1v  B2 1  B-]  a  B2 1  . . . 

e  y  B  son  expresiones  enteras  y  booleanas,  respectivamente,  definidas  inductivamente  de 
esta  manera.  Las  expresiones  enteras  se  construyen  a  partir  de  constantes  m  y  variables  x. 
true  y  false  son  las  constantes  booleanas.  La  expresión  entera  if  B  then  ei  else  e2  fi  no  es 
habitual;  su  semántica  informal  (después  precisamos)  establece  que  si  B  es  verdadera 
entonces  el  valor  de  la  expresión  es  el  de  ei,  y  si  B  es  falsa  entonces  el  valor  es  el  de  e2. 

Sintaxis  del  lenguaje  de  programación 

Los  programas,  por  su  parte,  pertenecen  al  lenguaje  de  programación  PLW  (por  programming 
lenguaje  while  en  inglés,  es  decir  lenguaje  de  programación  con  while).  Es  un  lenguaje  secuenclal 
determinístlco  muy  simple  del  tipo  Algol  o  Pascal,  como  se  lo  suele  referenclar.  La  sintaxis  de  un 
programa  S  de  PLW  se  define  inductivamente  de  la  siguiente  manera: 

S  ::  skip  |  x  :=  e  |  Si ;  S2 1  if  B  then  Sí  else  S2  fi  |  while  B  do  Si  od 

Notar  que  PLW  no  incluye  variables  de  tipo  booleano.  La  semántica  de  PLW  es  la  habitual 
(la  definición  formal  la  presentamos  enseguida): 

•  La  instrucción  skip  es  atómica  (se  consume  en  un  paso),  y  no  tiene  ningún  efecto  sobre  las 
variables.  Se  puede  usar,  por  ejemplo,  para  escribir  una  selección  condicional  sin 
instrucción  else. 
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•  La  asignación  x  :=  e  también  se  considera  atómica  para  simplificar,  y  asigna  el  valor  de  e  a 
la  variable  x. 

•  La  secuencia  Si  ;  S2,  ejecuta  Si  y  luego  S2. 

•  La  selección  condicional  if  B  then  Si  else  S2  fi,  ejecuta  Si  si  B  es  verdadera  o  S2  si  B  es 
falsa. 

•  Finalmente  la  repetición  while  B  do  S  od,  ejecuta  S  mientras  B  sea  verdadera  (primero 
evalúa  B  y  luego  si  corresponde  ejecuta  S).  Termina  cuando  B  es  falsa. 

Por  ejemplo,  el  siguiente  programa  PLW  calcula  mediante  restas  sucesivas  la  división 
entera  entre  x  >  0  e  y  >  0,  obteniendo  el  cociente  en  c  y  el  resto  en  r: 

Sdiv ::  c  :=  0  ;  r  :=  x  ;  while  r  >  y  do  r  :=  r  -  y  ;  c  :=  c  +  1  od 

Introducción  a  la  semántica  de  las  fórmulas  de  correctitud 

Al  Igual  que  para  la  sintaxis,  para  definir  ahora  la  semántica  de  las  fórmulas  {p}  S  {q}  y  (p)  S 
(q)  tenemos  que  definir  lo  correspondiente  al  lenguaje  de  especificación  y  al  lenguaje  de 
programación.  Para  ello,  debemos  formalizar  primero  la  noción  de  estado. 

A  diferencia  de  las  constantes,  los  valores  de  las  variables  de  un  programa  PLW  no  son  fijos 
sino  que  se  asignan  a  partir  de  estados  (modificados  por  las  instrucciones  de  asignación).  Un 
estado  es  una  función  o  que  asigna  a  toda  variable  un  valor  de  su  tipo,  en  este  caso  un  número 
entero.  Puede  verse  como  una  “instantánea”,  en  un  momento  determinado,  de  los  contenidos 
de  las  variables  de  un  programa.  Se  corresponde,  en  un  sentido,  con  el  concepto  lógico  de 
valoración  en  una  interpretación.  La  expresión  o(x)  denota  el  contenido  de  la  variable  x  según 
el  estado  o,  y  el  conjunto  de  todos  los  estados  se  denota  con  X.  Para  denotar  que  una  variable 
x  tiene  un  valor  particular  m  en  un  estado  o,  se  utiliza  la  expresión  o[x|m],  lo  que  se  conoce 
como  variante  de  un  estado,  útil  para  definir  después  la  semántica  de  la  instrucción  de 
asignación.  Formalmente,  dadas  x  e  y,  se  define:  o[x|m](y)  =  m  si  se  cumple  x  =  y,  o  bien  o(y) 
si  se  cumple  x  #  y. 

De  esta  manera,  la  visión  semántica  de  una  precondición  p  para  un  programa  S  es  la  de  un 
conjunto  inicial  de  estados:  solo  a  partir  de  todos  y  cada  uno  de  ellos  interesa  conocer  cómo  se 
comporta  S.  De  manera  análoga,  la  postcondición  q  denota  el  conjunto  de  estados  finales 
posibles.  Por  ejemplo,  tomando  el  programa  Sdiv  anterior,  la  fórmula: 

(x  >  0  a  y  >  0)  Sd¡v  (x  =  y.c  +  rAr<yAr>0) 

establece  que  a  partir  de  todo  estado  inicial  en  el  que  se  cumple  x  >  0  e  y  >  0  (el  resto  de 
las  variables  puede  tener  cualquier  valor),  el  programa  Sdiv  termina  y  lo  hace  en  un  estado  final 
en  el  que  x  vale  y  .  c  +  r,  y  r  cumple  r  <  y  a  r  >  0.  La  especificación  (x  >  0  a  y  >  0,  x  =  y  .  c  +  r  a  r 
<  y  a  r  >  0)  establece  así  la  relación  que  debe  existir  entre  los  estados  iniciales  y  los  estados 
finales  del  programa  Sdiv. 
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Como  las  pre  y  postcondiciones  formulan  aserciones  o  enunciados  sobre  estados,  se  las 
conoce  también  justamente  como  aserciones.  De  esta  manera  vamos  a  denominar  de  ahora  en 
más  Assn  (por  assertions  en  inglés)  al  lenguaje  de  especificación. 

Semántica  del  lenguaje  de  especificación 

Para  definir  la  semántica  de  Assn,  familiar  para  nosotros  por  lo  visto  en  un  capítulo  anterior, 
utilizamos  las  siguientes  funciones  semánticas: 

T  :  Assn  (E  ->■  {verdadero,  falso}) 

V  :  lexp  ->(£->  Z) 

W  :  Bexp  (I  {verdadero,  falso}) 

+  :ZxZ->Z  (de  manera  similar  se  definen  -  ,  . ,  etc.) 

=  :ZxZ->  {verdadero,  falso}  (de  manera  similar  se  definen  <  ,  >  ,  etc.) 

->  :  {verdadero,  falso}  {verdadero,  falso}  (de  manera  similar  se  definen  v  ,  a  ,  etc.) 

Z  es  el  conjunto  de  los  números  enteros,  lexp  el  conjunto  de  las  expresiones  enteras  de 
PLW  (por  integer  expressions  en  inglés),  y  Bexp  el  conjunto  de  las  expresiones  booleanas  de 
PLW  (por  boolean  expressions  en  inglés).  Con  estas  funciones,  de  manera  inductiva  podemos 
asociar  a  toda  aserción  y  expresión,  estado  mediante,  su  correlato  semántico.  Como  para 
describir  la  función  semántica  T  de  las  aserciones  se  debe  recurrir  a  la  descripción  de  las 
funciones  semánticas  V  y  W  de  las  expresiones  enteras  y  booleanas,  respectivamente,  en  lo 
que  sigue  habremos  logrado  no  solo  definir  la  semántica  de  las  aserciones  sino  también  la 
semántica  de  las  expresiones  enteras  y  booleanas  del  lenguaje  PLW.  Definimos: 

•  V(m)(o)  =  m  (a  la  constante  m  se  le  asocia  el  número  entero  m) 

•  V(x)(ct)  =  CT(X) 

•  V(ei  +  e2)(o)  =  V(e-i)(o)  +  V(e2)(o)  (de  manera  similar  se  definen  -  ,  . ,  etc.) 

•  V(if  B  then  e-i  else  e2  fi)(o)  =  if  W(B)(o)  then  V(e-i)(o)  else  V(e2)(o)  fi 

•  W(true)(o)  =  verdadero,  y  W(false)(o)  =  falso 

•  W(e-i  =  e2)(o)  =  (V(e-i)(o)  =  V(e2)(o))  (de  manera  similar  se  definen  <  ,  >  ,  etc.) 

•  W(_'B)(a)  =  _,W(B)(o)  (de  manera  similar  se  definen  v  ,  a  ,  etc.) 

•  T(true)(o)  =  verdadero,  y  T(false)(o)  =  falso 

•  T(e-|  =  e2)(o)  =  (V(e-i)(o)  =  V(e2)(o))  (de  manera  similar  se  definen  <  ,  >  ,  etc.) 

•  T(_,p)(o)  =  _,T(p)(o)  (de  manera  similar  se  definen  v  ,  a  ,  etc.) 

•  T(3x:p)(o)  =  verdadero  si  y  solo  si  existe  m  tal  que  T(p)(o[x|mj)  =  verdadero 

•  T(Vx:p)(o)  =  verdadero  si  y  solo  si  todo  m  cumple  que  T(p)(o[x|mj)  =  verdadero 

SI  se  cumple  T(p)(a)  =  verdadero,  diremos  que  el  estado  o  satisface  la  aserción  p,  lo  que 
también  se  puede  expresar  con  o  |=  p.  Del  mismo  modo  podemos  utilizar  o  |=  B  para  el  caso 


99 


de  las  expresiones  booleanas.  o  p  abrevia  _,(a  |=  p),  y  a(e)  y  o(B)  abrevian  V(e)(a)  y 
W(B)(a),  respectivamente.  Otra  convención  es  denotar  con  true  al  conjunto  de  todos  los 
estados  y  con  false  al  conjunto  vacío  de  estados,  por  lo  que  para  todo  estado  o  se  define  o  |= 
true,  y  o  false. 

Semántica  del  lenguaje  de  programación 

La  semántica  del  lenguaje  de  especificación  Assn  y  de  los  sublenguajes  de  las  expresiones 
enteras  y  booleanas  de  PLW  se  definió  denotacionalmente.  Mediante  distintas  funciones  se 
determinó  el  valor  de  las  construcciones  de  los  lenguajes  a  partir  del  valor  de  sus  componentes 
(la  idea  de  construcciones  lingüísticas  que  denotan  valores  da  el  nombre  a  este  tipo  de 
semántica).  La  semántica  de  las  instrucciones  de  PLW  la  vamos  a  definir  en  cambio 
operacionalmente.  Esta  modalidad  está  ampliamente  difundida,  fundamentalmente  porque  para 
lenguajes  complejos  el  uso  de  la  semántica  denotaclonal  se  torna  muy  dificultoso.  Las 
descripciones  se  hacen  en  términos  de  las  operaciones  de  una  máquina  abstracta, 
estableciendo  cómo  un  programa  transforma  estados  a  partir  de  un  estado  inicial. 

Más  precisamente,  dados  un  programa  S  y  un  estado  inicial  o,  se  asocia  a  la  configuración 
inicial  C0  =  (S,  o)  una  computación  tt(S,  o),  que  es  una  secuencia  de  configuraciones  C0  -»  C-i 

...,  donde  cada  C¡  es  un  par  (S¡,  o¡),  siendo  S¡  la  continuación  sintáctica  (lo  que  le  falta  al 
programa  para  terminar),  y  o¡  el  estado  corriente.  De  esta  manera,  una  computación  no  puede 
ser  extendida,  es  maximal.  Las  computaciones  tt(S,  o)  se  definen  inductivamente  por  medio  de 
una  relación  de  transición  entre  configuraciones,  basada  en  la  sintaxis  de  S.  Las 
computaciones  son  finitas  o  infinitas.  Una  computación  finita  C0  -»  ...  ->■  Ck  se  abrevia  con  C0 
Ck.  Ck  se  denomina  configuración  terminal,  y  es  un  par  (E,  ok).  E  (por  empty,  vacío  en 
inglés)  es  la  continuación  sintáctica  vacía,  no  forma  parte  del  lenguaje,  solo  se  utiliza  para 
indicar  que  el  programa  asociado  terminó,  y  cumple  que  S  ;  E  =  E  ;  S  =  S  para  todo  S.  El 
estado  final  de  tt(S,  o)  se  denota  con  val(Tr(S,  o)).  SI  tt(S,  o)  es  infinita,  se  escribe  val(rr(S,  o)) 
=  _L,  y  se  define  que  val(u(S  ;  S’,  o))  =  1  para  todo  S’  (es  decir  que  la  no  terminación  se 
propaga).  Al  símbolo  1  se  lo  conoce  como  estado  indefinido,  para  diferenciarlo  de  los  que  están 
definidos,  que  se  conocen  como  estados  propios.  Además  de  la  expresión  val(Tr(S,  o))  también 
se  utiliza  M(S)(o),  siendo  M:  PLW  (£  -»  I)  la  función  semántica  asociada  al  lenguaje  PLW. 
Dado  S,  M(S)  es  una  función  total,  porque  cuando  tt(S,  o)  no  termina  se  cumple  M(S)(o)  =  _L,  y 
además  M(S)(±)  =  ±.  Para  que  las  funciones  semánticas  V,  W  y  T  sean  totales,  también  deben 
completarse  sus  definiciones  teniendo  en  cuenta  el  estado  indefinido.  Naturalmente,  para  toda 
aserción  p  se  cumple  ±|¿  p. 

La  semántica  de  las  instrucciones  de  PLW  se  establece  definiendo  inductivamente  una 
relación  de  transición  — >  entre  configuraciones,  de  la  siguiente  manera: 

•  (skip,  o)  — >  (E,  o) 

•  (x  :=  e,  o)  (E,  o[x|o(e)j)  (la  expresión  o[x|o(e)j  se  puede  abreviar  con  o[x|ej) 

•  SI  (S,  o)  (S’,  o’),  entonces  para  todo  T:  (S  ;  T,  o)  (S’  ;  T,  o’) 
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•  Si  ct(B)  =  verdadero,  entonces  (if  B  then  S-i  else  S2  fi,  o)  (Si,  o) 

Si  o(B)  =  falso,  entonces  (if  B  then  Si  else  S2  fi,  a)  (S2,  a) 

•  Si  o(B)  =  verdadero,  entonces  (while  B  do  S  od,  o)  ^  (S  ;  while  B  do  S  od,  o) 

Si  o(B)  =  falso,  entonces  (while  B  do  S  od,  o)  (E,  o) 

De  la  definición  anterior  se  infiere  el  determinismo  de  PLW:  un  programa  tiene  una  sola 
computación,  solo  una  configuración  sucede  a  otra.  Notar  que  no  se  explicitan  las  distintas 
formas  que  pueden  adoptar  las  computaciones;  de  todos  modos  se  pueden  desarrollar 
fácilmente  (queda  como  ejercicio  para  el  lector).  A  diferencia  de  la  instrucción  de  asignación,  el 
skip  y  la  evaluación  de  una  expresión  booleana  no  modifican  el  estado  corriente,  y  todas  ellas 
se  consumen  en  un  solo  paso.  Notar  también  que  como  para  todo  S  se  cumple  S  ;  E  =  E  ;  S  = 
S,  si  val(Tr(S,  o))  =  o’  *  _L  entonces  (S  ;  T,  o)  -»*  (T,  o’). 

Para  facilitar  la  exposición  en  esta  sección,  posponemos  para  la  siguiente  la  posibilidad  de 
falla  de  un  programa,  es  decir  que  termine  incorrectamente  (podemos  asumir  entre  otras  cosas 
en  PLW,  por  ejemplo,  que  dividir  por  cero  da  cero).  Contemplar  esta  posibilidad  amerita  utilizar 
un  estado  de  falla  f,  y  definir  que  si  se  cumple  val(n(S,  o))  =  f,  entonces  val(Tr(S  ;  S’,  o))  =  f 
para  todo  S’,  es  decir  que  la  falla  se  propaga,  tal  como  definimos  en  el  caso  de  la  no 
terminación.  Naturalmente,  para  toda  aserción  p  se  cumple  f  p. 

Precisando  la  semántica  de  las  fórmulas  de  correctitud 

Con  las  definiciones  previas  ahora  sí  podemos  precisar  la  semántica  de  las  fórmulas  de 
correctltud  parcial  {p}  S  {q}  y  de  correctltud  total  (p)  S  (q),  es  decir  qué  significa  formalmente 
que  un  programa  S  sea  parcial  o  totalmente  correcto  con  respecto  a  una  especificación  (p,  q), 
respectivamente.  El  primer  caso  se  cumple  si  y  solo  si  para  todo  estado  o: 

(o  |=  p  a  val(TT(S,  o))  *  _L)  -»  val(TT(S,  o))  |=  q 

Y  el  segundo  caso  se  cumple  si  y  solo  si  para  todo  estado  o: 

o  |=  p  -»  (val(Tr(S,  o))  *  1  a  val(TT(S,  o))  |=  q) 

Las  pruebas  de  correctltud  parcial  y  total  requieren  técnicas  distintas,  lo  que  justifica  la 
separación  de  los  dos  criterios.  Ya  sugerido  antes  (la  prueba  queda  como  ejercicio  para  el 
lector),  la  correctltud  total  de  S  con  respecto  a  (p,  q)  se  puede  expresar  de  la  siguiente  manera: 

{p}  S  {q}  a  (p)  S  (true) 

Así,  un  camino  natural  para  verificar  que  un  programa  S  es  totalmente  correcto  con  respecto 
a  una  especificación  (p,  q)  es:  (a)  probar  que  ejecutado  a  partir  de  la  precondición  p,  si  S 
termina,  al  final  se  cumple  la  postcondición  q,  y  (b)  probar  que  ejecutado  a  partir  de  la 
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precondición  p,  S  termina.  En  la  práctica,  en  (b)  se  deben  considerar  solamente  todos  y  cada 
uno  de  los  while  de  S,  porque  son  la  única  fuente  de  no  terminación.  Este  camino  de  dos 
pruebas,  de  correctitud  parcial  y  terminación,  es  el  que  describimos  en  lo  que  sigue  mediante 
los  métodos  axiomáticos  respectivos  H  y  H*  (H  en  homenaje  a  Hoare). 

Método  H  de  verificación  de  correctitud  parcial 

Los  axiomas  y  reglas  del  método  H  son: 


Axioma  del  skip  (SKIP) 

Axioma  de  la  asignación  (ASI) 
Regla  de  la  secuencia  (SEC) 

Regla  del  condicional  (COND) 

Regla  de  la  repetición  (REP) 

Regla  de  consecuencia  (CONS) 


{p}  skip  {p} 

{p[x|e]}  x  e  {p} 
{p}S1{r},{r}S2{q} 

{p}  Si  ;  S2  {q} 

{p  a  B}  S-]  {q}  ,  {p  a  _1B}  S2  {q} 

{p}  if  B  then  Si  else  S2  fi  {q} 
{p  a  B}  S  {p} 

{p}  while  B  do  S  od  {p  a  _iB} 

P  — >  Pi ,  {Pi}  S  {q-i} ,  qi  — >  q 

ÍP} S {q} 


Los  axiomas  se  corresponden  con  las  instrucciones  atómicas  de  PLW,  y  las  reglas  con  las 
instrucciones  compuestas,  salvo  el  caso  especial  de  la  regla  CONS  que  explicamos  después. 

El  axioma  SKIP  establece  que  si  una  aserción  se  cumple  antes  de  la  ejecución  de  un  skip, 
sigue  valiendo  después. 

El  axioma  ASI  establece  que  si  se  cumple  p  en  términos  de  x  después  de  la  ejecución  de 
una  asignación  x  :=  e,  significa  que  antes  de  la  ejecución  se  cumple  p  en  términos  de  e.  La 
expresión  p[x|e]  denota  la  sustitución  en  la  aserción  p  de  todas  las  ocurrencias  libres  de  la 
variable  x  por  la  expresión  e.  Por  ejemplo,  con  ASI  se  puede  probar: 


{x  +  1  >  0}  x  :=  x  +  1  {x  >  0} 

Este  axioma  se  lee  “hacia  atrás”,  de  derecha  a  izquierda,  lo  que  impone  una  forma  de 
desarrollar  las  pruebas  de  H  en  el  mismo  sentido,  de  la  postcondición  a  la  precondición.  Si  bien 
resulta  más  natural  plantear  un  axioma  que  se  lea  “hacia  adelante”,  como: 


{true}  x  :=  e  {x  =  e} 

este  esquema  no  sirve,  es  falso  cuando  la  expresión  e  incluye  la  variable  x.  Por  ejemplo,  si 
e  =  x  +  1 ,  se  obtendría  la  fórmula  falsa: 
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{true}  x  :=  x  +  1  {x  =  x  +  1} 


El  problema  radica  en  que  la  x  de  la  parte  derecha  de  la  postcondlclón  se  refiere  a  la 
variable  antes  de  la  asignación,  mientras  que  la  x  de  la  parte  Izquierda  se  refiere  a  la  variable 
luego  de  la  asignación.  Una  forma  correcta  de  ASI  “hacia  adelante”  es: 

{p}  x  e  {3z:  p[x|z]  ax  =  e[x|z]} 

tal  que  e[x|z]  denota  la  sustitución  en  la  expresión  e  de  las  x  por  las  z,  pero  nos  quedaremos 
con  la  forma  “hacia  atrás”  porque  es  más  simple  y  es  la  más  difundida. 

La  regla  SEC  establece  que  del  cumplimiento  de  {p}  Si  {r}  y  {r}  S2  {q}  se  deriva  el 
cumplimiento  de  {p}  Si  ;  S2  {q}.  La  aserción  r  actúa  como  nexo  para  probar  la  secuencia  de  Si 
con  S2  y  luego  se  descarta,  es  decir  que  no  se  propaga  a  lo  largo  de  las  pruebas.  Hay  una 
forma  más  general  de  la  regla  que  es  la  siguiente: 

ÍP}  Si  {riMn}  S2  {r2},  ...  ,{rn_i}Sn  {q} 

{p}  Si  ;  S2 ;  ...  ;  Sn  {q} 

Este  esquema  se  puede  obtener  del  original.  De  todos  modos  lo  incluimos  en  H  para  acortar 
las  pruebas. 

La  regla  COND  impone  una  manera  de  verificar  una  selección  condicional  estableciendo  un 
único  punto  de  entrada  y  un  único  punto  de  salida,  correspondientes  a  la  precondición  p  y  la 
postcondición  q,  respectivamente.  A  partir  de  p,  se  cumpla  o  no  la  condición  B,  debe  darse  que 
luego  de  la  ejecución  de  Si  o  S2  se  cumple  q. 

La  regla  REP  se  centra  en  una  aserción  invariante  p,  que  debe  cumplirse  al  comienzo  de  un 
while  y  luego  de  toda  Iteración  del  mismo.  Mientras  valga  la  condición  B  del  while,  la  ejecución 
del  cuerpo  S  debe  preservar  p,  y  por  eso  al  terminar  la  instrucción  (si  termina)  se  cumple  p  a 
-■B.  Claramente  REP  no  asegura  la  terminación,  y  su  forma  muestra  que  la  correctltud  parcial 
puede  probarse  por  inducción.  Efectivamente,  es  esencialmente  con  la  regla  REP  que  se 
manifiesta  el  carácter  inductivo  del  método  H  para  verificar  la  correctltud  parcial  de  los 
programas  PLW.  La  técnica  inductiva  asociada  se  conoce  como  computacional,  porque 
consiste  en  probar  por  inducción  que  una  propiedad  se  cumple  a  lo  largo  de  una  computación. 

Finalmente,  la  regla  CONS  permite  reforzar  las  precondiciones  y  debilitar  las 
postcondiclones  de  las  fórmulas  de  correctltud.  Por  ejemplo,  si  r  — >  p  y  {p}  S  {q},  entonces  por 
CONS  se  prueba  {r}  S  {q}.  En  particular,  se  pueden  modificar  fórmulas  con  aserciones 
equivalentes.  Notar  que  por  el  uso  de  esta  regla,  algunos  pasos  de  una  prueba  en  H  pueden 
contener  directamente  aserciones.  CONS  es  una  regla  especial,  no  depende  de  PLW  sino  del 
dominio  semántico,  en  este  caso  los  números  enteros.  Es  una  regla  semántica  más  que 
sintáctica.  Actúa  como  interface  entre  las  fórmulas  de  correctltud  y  los  enunciados  verdaderos 
de  los  enteros.  Sin  esta  regla  el  método  H  no  sería  un  método  completo  ( relativamente 
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completo  como  veremos  enseguida).  Llamando  Tr  (por  true,  verdadero)  al  conjunto  de  todos 
los  enunciados  verdaderos  de  los  enteros,  una  prueba  en  H  debe  entenderse  entonces  como: 


Tr  | — H  {p}  S  {q} 

es  decir  que  al  método  H  se  le  agregan  como  axiomas  todos  los  enunciados  verdaderos  de 
los  enteros.  En  contraposición  con  lo  usual  en  los  métodos  axiomáticos,  el  conjunto  Tr  no  es 
recursivo,  ni  siquiera  recursivamente  numerable.  Es  que  el  camino  natural  de  extender  H  con 
una  axiomática  de  los  números  enteros  no  alcanza  para  obtener  la  completitud,  debido  al 
teorema  de  i ncompletitud  de  Gódel.  De  modo  tal  que  la  completitud  es  relativa  al  conjunto  de 
los  enunciados  verdaderos  de  los  enteros.  La  ventaja  de  definir  H  de  esta  manera  es  que  se 
separan  claramente  los  elementos  dependientes  de  los  programas  PLW  de  los  elementos 
dependientes  de  los  datos,  para  poner  foco  en  los  primeros. 

Además  de  la  regla  CONS,  existe  otra  regla  universal  aplicable  en  todo  método  de 
verificación,  aunque  no  se  la  suele  incluir  explícitamente.  Es  la  regla  de  ¡nstanclación 
(INST),  que  permite  instanclar  las  pre  y  postcondiciones  de  las  fórmulas  de  correctitud  a 
valores  específicos  del  dominio  semántico,  en  este  caso  los  números  enteros.  Su  uso  está 
ligado  al  empleo  de  variables  de  especificación  (también  llamadas  variables  lógicas),  las 
cuales  no  forman  parte  de  los  programas  y  sirven  para  “congelar”  los  contenidos  de  las 
variables  de  programa,  que  naturalmente  pueden  cambiar  desde  el  comienzo  hasta  el  final. 
Por  ejemplo,  la  especificación  (x  =  X,  x  =  X  +  1)  es  satisfecha  por  un  programa  que 
incrementa  en  1  su  entrada  x,  siendo  X  una  variable  de  especificación  empleada  para 
guardar  el  valor  inicial  de  la  variable  de  programa  x.  Las  variables  de  especificación  no 
pueden  ser  accedidas  ni  modificadas,  y  están  implícitamente  cuantificadas  universalmente. 
La  forma  de  la  regla  INST  es: 


f  (X) 
f(e) 

tal  que  f  es  una  fórmula  de  correctltud  que  incluye  una  variable  de  especificación  X,  y  e  es 
una  expresión  entera.  SI  X  ocurre  libre  en  la  precondición  y  la  postcondición,  e  no  debe  incluir 
variables  de  programa,  para  asegurar  que  se  instancle  siempre  el  mismo  valor.  Por  ejemplo,  (x 
=  X,  x  =  X  +  1)  no  se  puede  instanclar  con  e  =  x,  porque  ningún  programa  satisface  (x  =  x,  x  =  x 
+  1);  sucede  que  los  valores  de  x  a  Izquierda  y  derecha  de  la  especificación  son  distintos. 

Por  la  completitud  del  método  H,  agregarle  axiomas  y  reglas  es  redundante.  De  todos 
modos  esta  práctica  es  usual  para  acortar  las  pruebas.  Los  siguientes  son  algunos  ejemplos  de 
axiomas  y  reglas  auxiliares  bastante  comunes  que  se  le  agregan  a  H: 

•  Axioma  de  invariancla  (INV)  {p}  S  {p} 

cuando  ninguna  variable  libre  de  la  aserción  p  es  modiflcable  por  el  programa  S 
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Regla  de  la  disyunción  (OR) 


{p}  S  {q} ,  {r}  S  {q} 


{p  v  r}  S  {q} 

•  Regla  de  la  conjunción  (AND)  {p-i}  S  {q-i} ,  {p2}  S  {q2} 

{pi  Ap2}S{qiAq2} 

El  axioma  INV  suele  emplearse  en  combinación  con  la  regla  AND.  De  hecho  se  suele  utilizar 
directamente  la  siguiente  regla,  denominada  justamente  regla  de  invariancla: 

{Pl  S  {q} 

{r  a  p}  S  {r  a  q} 

cuando  ninguna  variable  libre  de  r  es  modificable  por  S. 

La  regla  OR  es  útil  para  probar  una  fórmula  de  correctltud  cuya  precondición  es  la  disyunción  de 
dos  aserciones  (se  puede  generalizar  a  más  aserciones):  en  lugar  de  propagar  a  lo  largo  de  una 
prueba  Información  necesaria  para  establecer  oportunamente  la  disyunción,  se  puede  recurrir  a  esta 
regla,  que  permite  una  prueba  por  casos.  Una  forma  particular  de  la  regla  OR  de  uso  habitual  es: 

{p  a  r}  S  {q}  ,  {p  a  -nr}  S  {q} 

{Pl  S  {q} 

Esta  regla  es  útil  cuando  la  prueba  de  {p}  S  {q}  se  facilita  reforzando  la  precondición  con  dos 
aserciones  complementarias. 

La  regla  AND  sirve  para  probar  una  fórmula  de  correctltud  tal  que  su  precondición  y  su 
postcondición  son  conjunciones  de  dos  aserciones  (se  puede  generalizar  a  más  aserciones). 
Se  recurre  a  esta  regla  para  lograr  una  prueba  incremental,  y  así  evitar  propagar  información 
necesaria  para  establecer  oportunamente  las  conjunciones. 

Antes  de  desarrollar  un  ejemplo  de  aplicación  de  H,  cabe  destacar  una  propiedad  del 
método  que  es  su  composicionalidad.  En  efecto,  H  adhiere  al  principio  de  que  si  S  está 
compuesto  por  subprogramas  Si,  S2,  ...,  Sn,  entonces  que  se  cumpla  {p}  S  {q}  depende 
solamente  de  que  se  cumplan  determinadas  fórmulas  {pi}  S-i  {q-i},  {p2}  S2  {q2},  ...,  {pn}  Sn  {qn}, 
sin  necesidad  de  referencia  alguna  a  la  estructura  interna  de  los  S¡.  Esta  propiedad  permite 
entonces  verificar  (y  construir)  modularmente  un  programa,  favoreciendo  la  escalabilidad  del 
método.  La  composicionalidad  se  cumple  también  en  el  método  H*  y  en  los  métodos  del 
paradigma  secuenclal  no  determinístlco.  En  cambio  se  dificulta  conservarla  cuando  se  trata  con 
programas  concurrentes,  como  veremos  más  adelante. 

Ejemplo  de  aplicación  del  método  H 

Vamos  a  probar  la  correctltud  parcial  del  programa  de  división  entera  presentado  antes,  es 
decir  la  fórmula: 
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{x  >  O  a  y  >  0}  Sdiv  {x  =  y.c  +  rAr<yAr>0} 


siendo  el  programa  Sdiv: 

Sdiv ::  c  :=  0  ;  r  :=  x  ;  while  r  >  y  do  r  :=  r  -  y  ;  c  :=  c  +  1  od 

La  dificultad  de  la  verificación  de  un  programa  radica  fundamentalmente  en  encontrar 
aserciones  en  distintas  locaciones,  en  particular  los  invariantes  de  los  while,  para  asociarlas 
con  las  premisas  de  alguna  regla  y  obtener  la  conclusión  deseada  (siempre  en  el  marco  de 
esta  exposición  que  se  focaliza  en  la  verificación  de  programas,  porque  la  buena  práctica  es 
construir  un  programa  en  simultáneo  con  su  verificación). 

Proponemos  como  invariante  del  while  la  aserción  p  =  (x  =  y  .  c  +  r  a  r  >  0),  obtenida  por  una 
técnica  habitual  que  es  la  generalización  de  la  postcondlclón  del  while,  en  este  caso  x  =  y  .  c  +  r 
a  r  <  y  a  r  >  0.  Cuando  el  programa  termina  se  cumple  r  <  y,  y  de  la  conjunción  de  esta 
condición  y  el  invariante  se  alcanza  la  postcondición  buscada.  Podemos  estructurar  la  prueba 
de  la  siguiente  manera: 

a.  {x  >  0  a  y  >  0}  c  :=  0  ;  r  :=  x  {p}.  A  partir  de  la  precondición  del  programa,  las  asignaciones 
iniciales  conducen  al  cumplimiento  por  primera  vez  del  invariante  p. 

b.  {p}  while  r  >  y  do  r  :=  r  -  y  ;  c  :=  c  +  1  od  {p  a  -,(r  2  y)}.  El  cuerpo  del  while  preserva  el 
invariante  p,  y  por  eso  si  el  while  termina  se  alcanza  p  a  _1(r  -  y)- 

c.  (p  a  -'(r  >  y))  -»  x  =  y  .  c  +  r  a  r  <  y  a  r  >  0.  La  postcondición  del  while  implica  la 
postcondición  del  programa. 


Prueba  de  a. 

1 .  {x  =  y  .  c  +  x  a  x  >  0}  r  :=  x  {p}  (ASI) 

2.  {x  =  y.0  +  XAX>0}c:=0{x  =  y.c  +  XAX>0}  (ASI) 

3.  {x  =  y  .  0  +  x  a  x  >  0}  c  :=  0  ;  r  :=  x  {p}  (1,2,  SEC) 

4.  (x>0Ay>0)->(x  =  y.0  +  XAX>0)  (MAT) 

5.  {x  >  0  a  y  >  0}  c  :=  0  ;  r  :=  x  {p}  (3,  4,  CONS) 


En  el  paso  4  se  recurre  a  un  enunciado  verdadero  de  los  números  enteros,  por  eso  se  indica 
MAT,  por  matemática  (podemos  verlo  como  la  invocación  a  un  oráculo  que  nos  devuelve  el 
enunciado  que  necesitamos). 

Prueba  de  b. 

6.  {x  =  y  .  (c  +  1 )  +  r  a  r  >  0}  c  :=  c  +  1  {p}  (ASI) 

7.  {x  =  y  .  (c  +  1 )  +  (r  -  y)  a  r  -  y  >  0}  r  :=  r  -  y  {x  =  y  .  (c  +  1 )  +  r  a  r  >  0}  (ASI) 
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8.  {x  =  y  .  (c  +  1 )  +  (r  -  y)  a  r  -  y  >  0}  r  :=  r  -  y  ;  c  :=  c  +  1  {p}  (6,7,  SEC) 

9.  (p  a  r  >  y)  ->■  (x  =  y  .  (c  +  1 )  +  (r  -  y)  a  r  —  y  >  0)  (MAT) 

1 0.  {p  a  r  >  y}  r  :=  r  —  y  ;  c  :=  c  +  1  {p}  (8,9,  CONS) 

1 1 .  {p}  while  r  >  y  do  r  :=  r  —  y  ;  c  :=  c  +  1  od  {p  a  ->(r  >  y)}  (10,  REP) 

Prueba  de  c. 

12.  (p  a  ^(r  >  y))  ->  (x  =  y  .  c  +  r  a  r  <  y  a  r  >  0)  (MAT) 


Los  pasos  finales  de  la  prueba  son: 

13.  {x  >  0  a  y  >  0}  Sd¡v{p  a  -'(r  >  y)}  (5,  11,  SEC) 

14.  {x  >  0  a  y  >  0}  Sdiv{x  =  y.c  +  rAr<yAr>0}  (12,  13,  CONS) 

También  se  puede  probar  {x  >  0  a  y  >  0}  Sdiv  {x  =  y  ■  o  +  r  a  r  <  y  a  r  >  0},  es  decir 
permitiendo  que  el  divisor  y  sea  0  (queda  como  ejercicio  para  el  lector). 

Método  H*  de  verificación  de  correctitud  total 

El  método  H*  difiere  de  H  solo  en  la  regla  de  la  repetición,  porque  el  while  es  la  única 
instrucción  que  puede  provocar  no  terminación.  Como  convención  de  notación,  a  los  nombres 
de  los  axiomas  y  reglas  de  H*  se  les  agrega  al  final  el  símbolo  *,  y  las  pre  y  postcondiclones  se 
delimitan  con  ( ). 

La  única  novedad  a  presentar  es,  entonces,  la  regla  REP*.  REP*  mantiene  naturalmente  la 
idea  de  un  invariante  p,  que  vale  antes,  durante  y  después  del  while,  e  Incorpora  una  función  t, 
conocida  como  fundón  cota,  que  se  define  en  términos  de  las  variables  de  programa  y  cuyo 
dominio  son  los  números  naturales.  La  regla  establece  que  la  función  se  decrementa  con  cada 
Iteración,  lo  que  asegura  que  el  while  sea  finito  (el  valor  inicial  de  la  función  t  representa  la 
cantidad  máxima  de  iteraciones). 

He  aquí  el  carácter  no  inductivo  de  esta  regla.  La  función  cota  determina  un  vahante,  cuyo 
valor  decreciente  representa  el  acercamiento  al  evento  de  terminación,  que  se  logra  por  la 
inexistencia  de  cadenas  descendentes  Infinitas  en  el  dominio  de  los  números  naturales  con 
respecto  a  la  relación  <.  El  par  (N,  <)  es  un  ejemplo  de  orden  bien  fundado:  dominio  con  una 
relación  anti-reflexiva,  anti-simétrica  y  transitiva,  sin  cadenas  que  decrecen  infinitamente.  En 
efecto,  propiedades  como  la  terminación  se  prueban  en  el  marco  de  un  orden  bien  fundado. 

La  regla  REP*  tiene  la  siguiente  forma: 

(p  a  B)  S  (p) ,  (p  a  B  a  t  =  Z)  S  (t  <  Z) ,  p  ->  t  >  0 
(p)  while  B  do  S  od  (p  a  -,B) 
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La  variable  Z  es  una  variable  de  especificación,  no  ocurre  en  p,  B,  t  ni  S,  y  su  objetivo  es 
conservar  el  valor  de  la  expresión  t  antes  de  la  ejecución  del  cuerpo  del  while.  La  primera 
premisa  es  la  misma  que  la  de  la  regla  REP  de  H.  Las  otras  dos  premisas  son  las  que 
aseguran  la  terminación: 

•  Por  la  segunda  premisa,  la  expresión  t  se  decrementa  en  cada  Iteración. 

•  Por  la  tercera  premisa,  t  arranca  y  se  mantiene  no  negativa  después  de  cada  Iteración. 

De  esta  manera  el  while  debe  terminar,  y  la  postcondición  es  como  antes  p  a  -nB. 

Con  el  método  H*  podemos  demostrar  directamente  la  correctltud  total  de  un  programa  P 
con  respecto  a  una  especificación  (p,  q):  si  los  Invariantes  de  los  while  de  P  propagan  la 
información  necesaria  para  alcanzar  al  final  de  la  prueba  la  postcondición  q,  no  hace  falta  partir 
la  prueba  de  (p)  S  (q)  en  las  pruebas  de  {p}  S  {q}  y  (p)  S  (true)  como  indicamos  antes.  No 
obstante,  trabajar  separadamente  suele  ser  más  sencillo,  porque  los  invariantes  a  considerar 
en  las  pruebas  de  terminación  de  los  while  suelen  ser  más  simples.  Con  esta  segunda 
alternativa  en  consideración,  ejemplificamos  a  continuación  el  uso  de  la  regla  REP*. 

Ejemplo  de  aplicación  del  método  H* 

Volvemos  al  programa  de  división  entera: 

Sdiv ::  c  :=  0  ;  r  :=  x  ;  while  r  >  y  do  r  :=  r  -  y  ;  c  :=  c  +  1  od 
para  completar  la  verificación  de  su  correctltud  total.  Ya  probamos: 

{x  >  0  a  y  >  0}  Sd¡v  {x  =  y.c  +  rAr<yAr>0} 


Ahora  probaremos: 


(x  >  0  a  y  >  0)  Sdiv  (true) 

Alcanza  con  probar  la  terminación  del  único  while  del  programa  a  partir  de  la  precondición  x 
>  0  a  y  >  0.  Como  invariante  proponemos  p  =  (y  >  0  a  r  >  0),  más  simple  que  el  de  la  prueba  de 
correctltud  parcial,  que  era  x  =  y  .  c  +  r  a  r  >  0.  Y  como  función  cota  proponemos  t  =  r.  Notar 
que  r  se  decrementa  en  cada  Iteración  (en  el  valor  de  y),  y  que  siempre  se  mantiene  positivo. 
Primero  hay  que  probar  que  el  invariante  propuesto  es  precondición  del  while.  En  este  caso: 

a.  (x  >  0  a  y  >  0)  c  :=  0  ;  r  :=  x  (p) 

Y  luego,  para  verificar  la  terminación  del  while,  debemos  probar  las  tres  premisas 
establecidas  por  la  regla  REP*: 
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b.  (p  a  r  >  y)  r  :=  r  -  y  ;  c  :=  c  +  1  (p) 

c.  (p  a  r  >  y  a  r  =  Z)  r  :=  r  —  y  ;  c  :=  c  +  1  (r  <  Z) 

d.  p^r>0 


Las  pruebas  de  (a)  a  (d)  no  revisten  mayor  dificultad  y  quedan  como  ejercido  para  el  lector. 

Sensatez  del  método  H 

Con  el  método  H  se  prueban  solamente  fórmulas  de  correctitud  parcial  verdaderas,  H  es 
sensato,  para  todo  programa  S  de  PLW  y  todo  par  de  aserciones  p  y  q  de  Assn  se  cumple: 

Tr  |  H  {P}  S  {q}  ->  |=  {p}  S  {q} 

Como  es  habitual,  para  probar  la  sensatez  de  H  es  suficiente  probar  que  sus  axiomas  son 
verdaderos  y  que  sus  reglas  son  sensatas,  es  decir  que  a  partir  de  premisas  verdaderas 
obtienen  conclusiones  verdaderas  (tener  en  cuenta  que  el  conjunto  Tr  de  por  sí  contiene  solo 
enunciados  verdaderos).  Empleamos  inducción  sobre  la  longitud  de  las  pruebas,  así  que  en  la 
base  de  la  inducción  consideramos  los  axiomas,  cuyas  pruebas  tienen  un  solo  paso,  y  en  el 
paso  inductivo  recurrimos  a  cada  una  de  las  reglas  de  H: 

•  Prueba  de  que  el  axioma  SKIP  es  verdadero. 

Hay  que  probar  |=  {p}  skip  {p},  es  decir  que  a  partir  de  un  estado  inicial  que  satisface  p, 
luego  de  la  ejecución  del  skip,  si  termina  (un  skip  siempre  termina),  el  estado  final  satisface 
la  misma  condición  p. 

Se  cumple  porque  por  la  semántica  de  PLW,  (skip,  o)  (E,  o),  y  por  lo  tanto  el  estado 
inicial  coincide  con  el  estado  final. 

•  La  prueba  de  que  el  axioma  ASI  es  verdadero  es  similar  a  la  anterior  y  queda  como 
ejercicio  para  el  lector. 

•  Prueba  de  que  la  regla  de  la  secuencia  es  sensata. 

Hay  que  probar  |=  {p}  Si  ;  S2  {q}  si  se  prueban  en  H  las  fórmulas  {p}  Si  {r}  y  {r}  S2  {q},  o  lo 
que  es  lo  mismo,  por  la  hipótesis  Inductiva,  si  se  cumple  |=  {p}  Si  {r}  y  |=  {r}  S2  {q}. 

Sea  o0  un  estado  inicial  que  satisface  p  y  tal  que  val(Tr(S1  ;  S2,  o0))  =  o2  +  _L.  Veamos  que 
el  estado  final  o2  satisface  q.  Por  la  semántica  de  PLW,  (Si ;  S2,  o0)  -»*  (S2,  Oí)  -»*  (E,  o2). 
Como  |=  {p}  Si  {r}  por  hipótesis,  entonces  Oí  satisface  r.  Y  como  |=  {r}  S2  {q}  por  hipótesis, 
entonces  o2  satisface  q. 

•  La  pruebas  de  la  sensatez  del  resto  de  las  reglas  son  similares  a  la  anterior  y  quedan  como 
ejercicio  para  el  lector. 
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Completitud  del  método  H 

La  sensatez  de  un  método  de  verificación  es  una  propiedad  de  cumplimiento  mandatorio,  no 
tiene  sentido  contar  con  un  método  que  genere  fórmulas  falsas.  La  propiedad  recíproca,  la 
completitud,  es  una  propiedad  deseable,  se  cumple  si  el  alcance  del  método  es  total,  si  todas 
las  fórmulas  verdaderas  son  probables.  En  este  caso  significa  que  para  todo  programa  S  de 
PLW  y  todo  par  de  aserciones  p  y  q  de  Assn: 

|=  {p}  S  {q}  ->  Tr  |  h  {p}  S  {q} 

Ya  indicamos  que  en  términos  absolutos  el  método  H  tal  como  fue  definido  no  es  completo. 
En  las  pruebas  se  necesitan  los  enunciados  verdaderos  de  los  números  enteros.  Por  ejemplo, 
para  probar  {true}  x  :=  e  {x  =  e},  si  x  no  está  en  e,  tenemos  que  contar  con  el  enunciado  true  -» 
e  =  e.  Extender  H  con  una  axlomatlzaclón  de  los  números  enteros  no  alcanza,  por  su  propia 
incompletltud.  Por  ejemplo,  el  conjunto  de  las  fórmulas  {true}  skip  {p}  no  es  recursivamente 
numerable:  si  p  no  es  demostrable  tampoco  lo  es  {true}  skip  {p},  porque  por  la  regla  SKIP 
habría  que  probar  true  p,  es  decir  p.  La  completitud  del  método  H  es  relativa.  Relativa  al 
conjunto  de  los  enunciados  verdaderos  de  los  enteros,  y  no  solamente,  sino  también  relativa  a 
Assn  y  PLW,  asumiendo  como  es  de  esperar  que  H  se  utilice  con  distintos  lenguajes  de 
especificación,  lenguajes  de  programación  e  interpretaciones,  porque  como  veremos 
enseguida,  es  necesario  que  puedan  expresarse  todas  las  aserciones  intermedias  de  una 
prueba,  o  en  otras  palabras,  que  el  lenguaje  Assn  sea  expresivo  con  respecto  a  PLW  y  la 
interpretación  de  los  números  enteros,  lo  cual  se  demuestra.  En  la  práctica,  alcanza  con  que 
pueda  expresarse,  dados  una  precondición  p  y  un  programa  S,  la  correspondiente 
postcondición  más  fuerte,  es  decir  una  aserción  que  denote  el  siguiente  conjunto  de  estados: 

post(p,  S)  =  {o’  |  3o:  o  |—  p  a  val(Tr(S,  o))  =  o’  7^  1} 

post(p,  S)  es  el  conjunto  de  los  estados  finales  obtenidos  por  S  a  partir  del  conjunto  de 
estados  iniciales  que  satisfacen  p.  Lo  de  postcondición  más  fuerte  se  debe  a  que  es  la 
postcondición  más  precisa  que  se  puede  formular.  Se  puede  considerar  alternativamente  la 
precondición  más  débil,  dados  un  programa  S  y  una  postcondición  q. 

Con  estas  consideraciones,  ahora  sí  probamos  que  H  es  completo.  Para  mostrar  que  se 
pueden  probar  todas  las  fórmulas  {p}  S  {q},  es  suficiente  tratar  las  cinco  formas  que  puede 
adoptar  un  programa  S  (skip,  asignación,  secuencia,  selección  condicional  y  repetición). 
Empleamos  esta  vez  inducción  sobre  la  estructura  de  S,  así  que  en  la  base  de  la  inducción 
consideramos  las  Instrucciones  atómicas  y  en  el  paso  inductivo  las  instrucciones  compuestas: 

•  SI  |=  {p}  skip  {q},  entonces  Tr  |-H  {p}  skip  {q}. 
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Por  la  semántica  de  PLW  se  cumple  (skip,  a)  (E,  a),  y  como  |=  {p}  skip  {q},  entonces  si  o 
satisface  p  también  satisface  q,  por  lo  que  p  ->■  q.  Finalmente,  los  pasos  {q}  skip  {q}  y  p  -»  q 
constituyen  una  prueba  de  {p}  skip  {q}  en  H  aplicando  la  regla  CONS. 

•  La  prueba  considerando  la  asignación  es  similar  a  la  anterior  y  queda  como  ejercicio 
para  el  lector. 

•  SI  |=  {p}  S-i  ;  S2  {q},  entonces  Tr  |-H  {p}  Si  ;  S2  {q}. 

Sea  r  la  aserción  que  denota  el  conjunto  post(p,  Si).  Como  |=  {p}  Si  ;  S2  {q},  por  la 
definición  de  post(p,  Si)  y  la  semántica  de  PLW  se  cumple  |=  {p}  Si  {r}  y  |=  {r}  S2  {q}.  Por 
hipótesis  inductiva  las  fórmulas  {p}  Si  {r}  y  {r}  S2  {q}  se  prueban  en  H,  las  cuales  constituyen 
una  prueba  de  {p}  Si  ;  S2  {q}  aplicando  la  regla  SEC. 

•  Las  pruebas  considerando  la  selección  condicional  y  la  repetición  son  similares  a  la  anterior  y 
quedan  como  ejercicio  para  el  lector.  De  todos  modos  amerita  que  hagamos  algún  comentarlo 
sobre  la  existencia  de  los  invariantes  de  los  while.  A  partir  de  la  hipótesis  |=  {r}  whlle  B  do  S  od 
{q},  hay  que  encontrar  un  invariante  p  que  cumpla  con  r  ->  p,  (p  a  — .B)  q,  y  |=  {p  a  B}  S  {p}, 
porque  por  hipótesis  inductiva  y  aplicando  las  reglas  REP  y  CONS  se  llega  a  la  prueba  de  {r} 
whlle  B  do  S  od  {q}  en  H.  El  invariante  p  debe  denotar  el  conjunto  de  todos  los  estados 
alcanzados  por  cualquier  cantidad  de  Iteraciones  de  S  a  partir  de  un  estado  inicial  que  satisfaga 
r.  Una  forma  natural  de  p  es,  por  lo  tanto,  la  disyunción  infinita  p0  v  pi  v  ...  v  pkv  ...,  con  p0  =  r,  y 
p¡+i  denotando  el  conjunto  post(p¡A  B,  S)  para  todo  I  >  0.  Obviamente  ésta  no  es  una  fórmula 
bien  formada,  pero  se  demuestra  que  p  es  expresable  en  Assn. 

Sensatez  del  método  H* 

Solo  hay  que  probar  la  sensatez  de  la  regla  REP*,  porque  los  axiomas  y  las  reglas  restantes 
de  H*  son  los  mismos  de  H. 

Supongamos  que  probamos  en  H*  las  premisas  (p  a  B)  S  <p),  (p  A  B  A  t  =  Z)  S  <t  <  Z),  y  p  -> 
t  >  0.  Por  hipótesis  inductiva  se  cumplen  semántlcamente.Y  supongamos  que  a  partir  de  la 
precondición  p  la  repetición  while  B  do  S  od  no  termina.  Esto  significa  que  a  partir  de  un  estado 
inicial  o0  que  satisface  p,  la  computación  Tr(whlle  B  do  S  od,  o0)  es  infinita  y  tiene  la  forma: 

(while  B  do  S  od,  ct0)  -»*  (while  B  do  S  od,  ai)  (while  B  do  S  od,  o¡) 

donde  para  todo  i  >  0,  o¡  |=  p  a  B  a  t  >  0.  Por  lo  tanto,  la  cadena  o0(t),  o-i(t),  ...,  o¡(t),  ... 
también  es  infinita,  y  como  por  hipótesis  o¡(t)  >  a¡+i(t)  para  todo  I  >  0,  entonces  obtuvimos  una 
cadena  descendente  infinita  en  el  orden  bien  fundado  (N,  <),  lo  que  es  absurdo.  De  esta 
manera  el  whlle  termina,  y  lo  hace  en  un  estado  ok  que  satisface  p  a  -’B,  tal  como  se  establece 
en  la  prueba  de  sensatez  del  método  H. 

Completitud  del  método  H* 

Como  en  el  caso  de  la  sensatez,  solo  tenemos  que  considerar  la  repetición. 
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A  partir  de  |=  (r)  while  B  do  S  od  (q),  hay  que  encontrar:  (a)  un  invariante  p  que  cumpla  con  r 
— >  p,  (p  a  -iB)  — »  q,  y  |=  (p  a  B)  S  (p),  sobre  el  que  ya  hablamos  en  la  prueba  de  la  completitud 
de  H,  y  (b)  una  función  cota  t  que  cumpla  con  |=  (p  a  B  a  t  =  Z)  S  (t  <  Z),  y  p  ->  t  >  0,  porque 
por  hipótesis  inductiva  y  aplicando  la  regla  CONS,  se  obtiene  en  H*  la  prueba  de  (r)  while  B  do 
S  od  (q).  Veamos  qué  necesidades  de  expresividad  existen  para  (b). 

Dada  una  repetición  S  ::  while  B  do  Si  od,  y  una  variable  x  no  perteneciente  a  S,  sea  la 
siguiente  repetición  ampliada: 


Sx ::  x  :=  0  ;  while  B  do  x  :=  x  +  1  ;  S!  od 

Si  Sx  termina  a  partir  de  un  estado  o  en  un  estado  o’,  entonces  o’(x)  es  la  cantidad  de 
iteraciones  de  S  a  partir  de  o.  Haciendo  ¡ter(S,  o)  =  o’(x),  entonces  claramente  ¡ter(S,  o)  es  una 
función  parcial  computable.  Por  lo  tanto,  la  completitud  de  H*  también  se  supedita  a  poder 
expresar  iter(S,  o)  con  una  expresión  entera  t  tal  que,  para  todo  S  y  todo  o,  si  S  termina  a  partir 
de  o  entonces  o(t)  =  ¡ter(S,  o),  lo  que  se  cumple  si  el  sublenguaje  de  las  expresiones  enteras 
permite  expresar  la  totalidad  de  las  funciones  parciales  computables. 


Programas  secuenciales  no  determinísticos 

En  la  sección  anterior  describimos  dos  lógicas  de  programas  secuenciales  determinísticos, 
con  suficiente  detalle  para  introducir  adecuadamente  los  conceptos  principales  que 
pretendemos  utilizar  a  lo  largo  de  todo  el  capítulo.  A  partir  de  esta  sección  nos  focalizamos  en 
los  aspectos  distintivos  de  las  lógicas  para  los  paradigmas  que  faltan. 

La  programación  no  determinística  facilita  la  abstracción,  nos  permite  evitar  detalles  de 
implementación  innecesarios  en  los  programas,  y  así  nos  acerca  más  a  lo  que  queremos 
expresar  algorítmicamente.  Semánticamente,  ahora  a  partir  de  un  estado  inicial  puede  haber 
más  de  una  computación,  y  por  lo  tanto  más  de  un  estado  final.  En  particular,  puede  haber 
computaciones  que  terminan,  fallan  o  no  terminan.  Los  métodos  de  verificación  de  correctitud 
parcial  y  total  deben  contemplar  estas  diferencias  con  el  paradigma  anterior. 

No  se  establece  ninguna  asunción  de  probabilidad  de  ejecución  sobre  las  computaciones, 
salvo  que  se  defina  algún  tipo  de  fairness  (del  inglés:  justicia,  ecuanimidad)  para  fijar 
restricciones  sobre  el  comportamiento  de  las  computaciones  infinitas.  Al  final  de  esta  sección 
describimos  brevemente  cómo  impacta  el  fairness  en  la  prueba  de  terminación. 

Sintaxis  del  lenguaje  de  programación 

Solo  tenemos  que  describir  el  lenguaje  de  programación.  Es  una  extensión  no 
determinística  de  PLW.  Se  denomina  GCL  (por  guarded  commands  language  en  inglés,  es 
decir  lenguaje  de  comandos  con  guardia  o  guardados).  Este  lenguaje  lo  utilizó  E.  Dijkstra  para 
introducir  la  derivación  de  programas  (construcción  en  simultáneo  con  la  verificación,  en 
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contraposición  a  la  verificación  a  posteriori).  Nosotros  empleamos  una  variación  sintáctica  de 
dicho  lenguaje.  Las  dos  instrucciones  que  se  agregan  son  la  selección  no  determinística\ 

if  Bt  then  St  or  B2  then  S2  or ...  or  Bn  then  Sn  fi 

y  la  repetición  no  determinística: 

do  Bt  then  Si  or  B2  then  S2  or ...  or  Bn  then  Sn  od 

Para  simplificar  la  escritura  identificamos  ambas  instrucciones  con  IF  y  DO, 

respectivamente.  La  construcción  B¡  then  S¡  se  conoce  como  comando  con  guardia.  Los  índices 
i  se  denominan  direcciones.  Si  una  guardia  B¡  es  verdadera  se  dice  que  la  dirección  i  está 
habilitada.  Informalmente,  la  semántica  del  IF  y  del  DO  es: 

•  IF:  Se  evalúan  sus  guardias.  Si  algunas  son  verdaderas,  se  elige  una  no 

determinísticamente,  se  ejecuta  la  instrucción  asociada,  y  se  continúa  con  la  instrucción 
siguiente  al  IF.  Si  en  cambio  todas  las  guardias  son  falsas,  el  IF  (y  el  programa  completo) 
termina  en  el  estado  de  falla  f. 

•  DO:  Se  evalúan  sus  guardias.  Si  algunas  son  verdaderas,  se  elige  una  no 

determinísticamente,  se  ejecuta  la  instrucción  asociada,  y  se  vuelve  al  comienzo  del  DO. 

Se  continúa  así  hasta  que  ninguna  guardia  sea  verdadera,  en  cuyo  caso  se  continúa  con  la 
instrucción  siguiente  al  DO.  Por  lo  tanto  en  GOL  el  while  y  el  DO  son  las  fuentes  de  no 
terminación. 

Por  ejemplo,  el  siguiente  programa  GOL  calcula,  empleando  el  algoritmo  de  Euclides,  el 
máximo  común  divisor  de  x  >  0  e  y  >  0  (el  resultado  queda  tanto  en  x  como  en  y): 

Smcd ::  do  x  >  y  then  x:=x-yorx<y  then  y  :=  y  -  x  od 

Semántica  del  lenguaje  de  programación 

Como  antes,  solo  tenemos  que  referirnos  al  lenguaje  de  programación.  Hay  que  definir  la 
relación  de  transición  para  las  instrucciones  IF  y  DO: 

•  Si  o(B¡)  =  verdadero  para  algún  i,  entonces  (IF,  o)  (S¡,  o) 

Si  o(B¡)  =  falso  para  todo  i,  entonces  (IF,  o)  (E,  f) 

•  Si  o(B¡)  =  verdadero  para  algún  i,  entonces  (DO,  o)  (S¡ ;  DO,  o) 

Si  o(B¡)  =  falso  para  todo  i,  entonces  (DO,  o)  -» (E,  o) 

Por  el  no  determinismo  del  IF  y  del  DO,  ahora  a  partir  de  un  estado  o  y  un  programa  S 
puede  haber  varias  computaciones  y  estados  finales.  fl(S,  o)  denota  el  conjunto  de  todas  las 
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computaciones  tt(S,  o)  de  un  programa  S  a  partir  de  un  estado  inicial  o,  cada  una  de  las  cuales 
puede  terminar,  fallar  o  no  terminar.  Puede  representarse  como  un  árbol  de  computaciones, 
cuyas  ramas  son  las  computaciones  tt(S,  o)  y  sus  hojas  los  estados  finales,  que  pueden  ser 
estados  propios,  el  estado  de  falla  o  el  estado  indefinido.  La  función  semántica  asociada  a  GCL 
es  M:  GCL  (£  P(S)),  siendo  P(£)  el  conjunto  de  partes  de  £,  y  M(S)(o)  =  {val(Tr(S,  o))  | 

TT(S,  o)  £  n(S,  O)}. 

Notar  que  el  árbol  de  computaciones  tiene  grado  finito,  producto  de  la  forma  de  las 
instrucciones  IF  y  DO.  Como  consecuencia,  se  cumple  la  propiedad  de  no  determlnismo 
acotado:  el  conjunto  de  estados  finales  es  finito  o  contiene  al  1.  En  efecto,  la  única  posibilidad 
de  que  un  programa  GCL  produzca  un  conjunto  infinito  de  estados  finales  es  que  una  de  sus 
computaciones  sea  infinita,  porque  un  árbol  de  grado  finito  con  un  número  infinito  de  nodos 
tiene  al  menos  una  rama  infinita  (lema  de  Kónig ;  se  demuestra  fácilmente  por  inducción,  y  el 
lector  está  invitado  a  probarlo). 


Semántica  de  las  fórmulas  de  correctitud 

La  posibilidad  de  que  haya  varias  computaciones  y  estados  finales,  que  pueden  ser  propios, 
el  estado  f  o  el  estado  _L,  hace  que  deba  modificarse  la  semántica  de  las  fórmulas  {p}  S  {q}  y  (p) 
S  (q)  con  respecto  a  lo  definido  para  el  paradigma  determinístico.  Ahora,  un  programa  S  es 
parcialmente  correcto  con  respecto  a  una  especificación  (p,  q)  si  y  solo  si  para  todo  par  de 
estados  o  y  o’: 


(o  |=  p  a  o’  £  M(S,  o)  a  q'  ^  f  a  o’  ^  1)  — >  o’  |—  q 

Las  computaciones  que  a  partir  de  un  estado  que  satisfaga  la  precondición  p  fallan  o  no 
terminan,  no  se  consideran  en  la  correctitud  parcial,  y  las  que  terminan  deben  hacerlo  en  un 
estado  que  satisfaga  la  postcondición  q.  Por  su  parte,  S  es  totalmente  correcto  con  respecto  a 
(p,  q)  si  y  solo  si  para  todo  par  de  estados  o  y  o’: 

(o  |=  p  a  o’  £  M(S,  o))  — >  (o’  ^  f  a  qV  i  a  o’  |=  q) 

Todas  las  computaciones  a  partir  de  un  estado  que  satisfaga  p  deben  terminar,  y  deben 
hacerlo  en  un  estado  que  satisfaga  q.  Sigue  valiendo  la  posibilidad  de  expresar  (p)  S  (q)  con  la 
conjunción  {p}  S  {q}  a  (p)  S  (true)  (la  prueba  queda  como  ejercicio  para  el  lector). 

Método  D  de  verificación  de  correctitud  parcial 

La  identificación  de  los  métodos  de  esta  sección  con  D  y  D*  es  en  homenaje  a  Dijkstra.  Solo 
tenemos  que  describir  las  reglas  asociadas  a  las  instrucciones  IF  y  DO,  las  cuales  reflejan  las 
mismas  ideas  que  las  de  las  reglas  del  condicional  y  la  repetición  del  paradigma  determinístico: 
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Regla  del  condicional  (NCOND) 


{p  a  B¡}  S¡  {q},  i  =  1  ...n 


{Pl  IF  {q} 

•  Regla  de  la  repetición  (NREP)  {p  a  B¡} S¡ {p},  i  =  1...n 

{p}  DO  {p  A  A¡=i,n  'Bj} 


Ejemplo  de  aplicación  del  método  D 

Volviendo  al  programa  Smcd  que  calcula  el  máximo  común  divisor  de  x  >  0  e  y  >  0,  queremos 
probar: 


{x  =  Xay  =  YaX>0aY  >0} 
do  x  >  y  then  x:=x-yorx<y  then  y  :=  y  -  x  od 
{x  =  mcd(X,  Y)} 

La  interpretación  de  mcd(X,  Y)  es  una  función  que  devuelve  el  máximo  común  divisor  de  X  e 
Y.  Proponemos  el  invariante: 

p  =  (mcd(x,  y)  =  mcd(X,  Y)AX>ÜAy>0) 

el  cual  refleja  la  idea  del  algoritmo  de  Euclides.  La  prueba  se  logra  utilizando  las  reglas 
NREP  y  CONS,  sin  mayores  dificultades  (queda  como  ejercicio  para  el  lector). 

Método  D*  de  verificación  de  correctitud  total 

En  este  caso,  que  no  se  cumpla  la  correctltud  total  puede  deberse  no  solamente  a  que  no 
termine  una  repetición  determinística  (while)  o  no  determinística  (DO),  sino  también  a  la  falla  de 
un  IF,  por  tener  todas  sus  guardias  con  el  valor  falso.  Por  lo  tanto  hay  que  modificar  las  reglas 
NCOND  y  NREP  del  método  D.  La  regla  NCOND*  de  D*,  asociada  a  la  instrucción  IF,  es: 

p  — >  Vi=i,n  B¡  ,  (p  a  B¡)  S¡  (q),  i  =  1  ...n 

<P>  IF  <q> 

Es  decir  que  la  precondición  del  IF  debe  asegurar  que  al  menos  una  guardia  sea  verdadera. 
La  regla  NREP*  de  D*,  asociada  a  la  instrucción  DO,  contiene  las  mismas  premisas  definidas 
en  el  caso  determinístlco,  pero  generalizadas  a  n  guardias: 


(p  a  B¡)  S¡  (p)  ,  (p  a  B¡  a  t  =  Z)  S¡  (t  <  Z)  ,  i  =  1  ...n,  p  ^  t  >  0 


(p)  DO  (p  a  A¡=i,n-,B¡) 
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La  variable  Z  no  ocurre  en  p,  t,  B¡,  S¡,  para  todo  i,  mientras  que  t  es  una  expresión  entera 
que  denota  una  función  natural  definida  en  términos  de  las  variables  de  programa. 

Ejemplo  de  aplicación  del  método  D* 

Para  probar  (x  =  X  a  y  =  Y  a  X  >  0  a  Y  >  0)  Smcd  (x  —  mcd(X,  Y)),  por  el  ejemplo  previo 
alcanza  con  probar  que  Smcd ::  do  x  >  y  then  x:=x-yorx<y  then  y  :=  y  -  x  od,  a  partir  de  la 
precondición  especificada,  no  falla  y  termina. 

Que  no  falla  es  trivial  porque  el  programa  no  tiene  ningún  IF. 

Para  la  prueba  de  terminación  del  DO  proponemos  un  invariante  más  simple  que  el  utilizado 
para  la  prueba  de  correctitud  parcial: 


p  =  (x>0Ay>0) 


y  la  función  cota: 


t  =  x  +  y 


que  se  decrementa  iteración  a  iteración  en  x  o  en  y,  y  siempre  se  mantiene  por  encima  del 
cero.  La  prueba  de  las  tres  premisas  de  la  regla  NREP*  se  resuelve  sin  inconvenientes,  y 
queda  como  ejercicio  para  el  lector. 

Sensatez  y  completitud  de  los  métodos  D  y  D* 

Las  pruebas  de  sensatez  de  las  reglas  NCOND,  NCOND*  y  NREP  son  similares  a  las 
correspondientes  del  paradigma  anterior.  Se  emplea  inducción  sobre  la  longitud  de  las 
pruebas.  La  salvedad  es  que  ahora  semánticamente  se  consideran  computaciones  no 
determinísticas. 

Lo  mismo  sucede  con  la  prueba  de  sensatez  de  la  regla  NREP*.  Se  llega  a  un  absurdo 
asumiendo  a  pesar  de  las  premisas  que  la  repetición  no  termina,  por  tratarse  con  un  orden  bien 
fundado.  En  este  caso  la  función  cota  t  se  decrementa  iteración  tras  iteración  con  la  ejecución 
de  cualquier  cuerpo  S¡,  el  correspondiente  a  la  guardia  B¡  seleccionada  no  determinísticamente. 

Y  también  las  pruebas  requeridas  en  relación  a  dichas  reglas  para  demostrar  la  completitud 
de  D  y  D*  siguen  la  misma  línea  de  las  que  mostramos  para  H  y  H*,  respectivamente.  Se  utiliza 
inducción  estructural.  La  completitud  es  relativa  al  conjunto  Tr  de  los  enunciados  verdaderos  de 
los  números  enteros.  El  lenguaje  Assn  es  expresivo  con  respecto  a  GCL  y  dicha  interpretación. 
En  particular  se  puede  expresar  el  invariante  p,  que  como  antes,  debe  denotar  el  conjunto  de 
todos  los  estados  que  se  obtienen  a  lo  largo  de  las  iteraciones  desde  la  precondición,  esta  vez 
con  los  cuerpos  S¡  pudiendo  variar  de  iteración  en  iteración.  Una  fórmula  infinita  (no  bien 
formada)  que  expresa  p  es  entonces: 


p  =  p0  v  p-!  v  ...  v  pkv  ... 
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siendo  p0  =  r,  r  la  precondición,  y  para  todo  i  >  0:  p¡+1  denotando  la  unión  de  los  conjuntos 
post(p¡  a  Bm,  Sm)  para  toda  dirección  m.  En  lo  que  hace  a  la  función  cota  considerada  en  la 
regla  NREP*,  la  expresión  entera  t  es  expresable  en  las  mismas  condiciones  planteadas  en 
REP*.  Dada  una  instrucción  DO  que  termina  a  partir  de  un  estado  o,  o(t)  debe  entenderse 
como  el  número  máximo  de  Iteraciones.  o(t)  £  N  porque  el  no  deterninismo  es  acotado; 
mostramos  enseguida  que  con  fairness  esto  deja  de  cumplirse. 

Fairness 

Incorporando  fairness  en  la  semántica,  se  restringe  la  manera  en  que  pueden  ocurrir  las 
computaciones  infinitas.  Así,  el  fairness  puede  reducir  el  no  determinismo.  Está  presente  en 
varios  lenguajes  de  programación  concurrentes.  Lo  introducimos  en  esta  sección  porque  su 
efecto  puede  ser  mejor  explicado  en  el  contexto  del  no  determinismo.  Con  la  semántica 
operaclonal  que  venimos  utilizando  no  hay  una  manera  efectiva  para  definir  todas  y  solo  las 
computaciones  de  un  programa  permitidas  por  el  fairness  (computaciones  fair),  por  lo  que 
directamente  se  asume  una  restricción  sobre  su  árbol  de  computaciones  asociado:  se  podan 
sus  ramas  no  fair.  En  la  segunda  parte  de  este  capítulo  describimos  cómo  con  un  lenguaje  de 
la  lógica  temporal  se  pueden  definir  sintácticamente  las  computaciones  fair. 

Entre  los  tipos  de  fairness  más  usuales  se  encuentra  el  fairness  fuerte,  que  no  permite 
computaciones  infinitas  con  una  dirección  infinitamente  habilitada  pero  nunca  seleccionada.  Un 
caso  particular  de  este  tipo  es  el  fairness  débil,  en  que  la  dirección  nunca  seleccionada  está 
continuamente  habilitada  a  partir  de  un  momento  dado  (las  denominaciones  fuerte  y  débil 
justamente  se  deben  a  que  el  primer  tipo  de  fairness  Implica  el  segundo).  Por  ejemplo,  el 
siguiente  programa  GCL  no  termina  sin  fairness  pero  sí  lo  hace  con  fairness  débil  (y  por  lo 
tanto  también  con  fairness  fuerte): 

Snat ::  x  :=  0  ;  b  :=  true  ;  do  1 :  b  then  x  :=  x  +1  or  2:  b  then  b  :=  false  od 

Para  facilitar  el  desarrollo,  hemos  ampliado  el  lenguaje  GCL  con  variables  booleanas  (y 
expresiones  booleanas  que  las  contienen).  Los  identificadores  de  direcciones  1  y  2  no  forman 
parte  del  lenguaje,  los  Incluimos  también  para  facilitar  la  explicación.  Sin  fairness,  la 
computación  infinita  del  programa  Snat  que  solo  considera  la  dirección  1  está  permitida,  y  por  lo 
tanto  el  programa  puede  no  terminar.  En  cambio  con  fairness  débil,  en  algún  momento  debe 
seleccionarse  la  dirección  2,  en  cuyo  caso  la  guardia  b  se  hace  falsa  y  el  programa  termina.  De 
esta  manera,  Snat  con  fairness  débil  produce  como  salida  cualquier  número  natural.  El  siguiente 
programa  GCL  es  una  variación  del  anterior,  que  termina  solo  con  fairness  fuerte: 

Spar ::  x  :=  0  ;  b  :=  true  ;  do  1 :  b  then  x  :=  x  +1  or  2:  b  a  par(x)  then  b  :=  false  od 
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El  valor  de  la  función  par(x)  es  verdadero  si  y  solo  si  el  de  la  variable  x  es  par.  La  dirección  2 
está  infinitamente  habilitada  pero  de  manera  intermitente,  por  lo  que  el  fairness  débil  no 
alcanza  para  que  se  seleccione  alguna  vez.  Así,  el  programa  Spar  con  fairness  fuerte  produce 
como  salida  cualquier  número  natural  par.  Notar  que  con  el  tipo  de  fairness  indicado,  los 
programas  Snat  y  Spar  terminan  y  se  comportan  como  generadores  aleatorios  de  números 
naturales  (el  segundo  solo  de  los  pares).  Esto  significa  que  ahora,  con  fairness,  tenemos  un 
no  determinismo  no  acotado,  no  se  puede  determinar  a  priori  la  cantidad  máxima  de 
Iteraciones  de  un  DO. 

La  correctltud  total  con  fairness  la  expresamos  con  la  fórmula  ((p))  S  ((q)),  pudlendo 
agregar  como  superfijos  en  la  pre  y  postcondición  las  letras  f  o  d  (por  fuerte  o  débil)  cuando  por 
contexto  no  queda  claro  el  tipo  de  fairness.  Queda  como  ejercicio  para  el  lector  probar  que 
también  en  este  caso  ((p))  S  ((q))  equivale  a  la  conjunción  {p}  S  {q}  a  «P»  S  «true». 

Un  método  usual  para  probar  terminación  con  fairness  es  el  de  las  direcciones  útiles.  La 
idea  central  es  que  ahora  no  es  necesario  que  la  función  cota  t  se  decremente  cualquiera  sea 
la  dirección  elegida,  sino  que  es  suficiente  que  lo  haga  solo  atravesando  algunas  direcciones. 
En  cada  Iteración  se  requiere  que  exista  un  conjunto  de  direcciones  útiles,  es  decir  que 
decrementen  t,  tales  que  el  fairness  fuerce  a  que  se  seleccionen  alguna  vez,  al  tiempo  que  las 
direcciones  restantes  no  deben  incrementar  t.  Por  ejemplo,  volviendo  al  programa  Snat: 

Snat ::  x  :=  0  ;  b  :=  true  ;  do  1 :  b  then  x  :=  x  +1  or  2:  b  then  b  :=  false  od 

el  cual  termina  con  fairness  débil,  notar  que  la  dirección  útil  es  la  2.  Una  manera  usual  de 
expresar  la  función  cota  t  en  estos  casos  es  en  términos  de  la  “distancia”  a  la  terminación.  Por 
la  simplicidad  de  Snat  alcanza  con  que  la  distancia  sea  w  =  1  al  comienzo,  cuando  la  guardia  b 
es  verdadera,  y  w  =  0  cuando  b  se  hace  falsa.  El  fairness  débil  fuerza  a  que  la  dirección  2  se 
seleccione  alguna  vez.  Correspondientemente,  t  podría  valer  1  mientras  se  seleccione  la 
dirección  1,  y  decrementarse  a  0  cuando  se  tome  la  dirección  2  y  así  el  programa  termine.  Una 
expresión  adecuada  para  t  podría  ser  entonces: 

t  =  if  b  then  1  else  0  fi 

Un  ejemplo  más  ilustrativo,  también  con  fairness  débil,  es  el  de  un  generador  aleatorio  de 
dos  números  naturales,  x  e  y: 

S2nat  "  X  :=  0  ;  y  :  =  0  ;  bt  :=  true  ;  b2  :=  true  ; 
do  1:  bi  a  b2  then  x  :=  x  +1  or 
2:  b-i  a  b2  then  bi  :=  false  or 
3:  _,bi  a  b2  then  y  :=  y  +1  or 
4:  ->bi  a  b2  then  b2  :=  false  od 
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En  este  caso  se  puede  arrancar  con  una  distancia  w  =  2,  cuando  las  dos  guardias  son 
verdaderas,  seguir  con  w  =  1  cuando  bi  se  hace  falsa,  y  terminar  con  w  =  0  cuando  también  se 
hace  falsa  b2.  Al  comienzo  la  dirección  útil  es  la  2,  el  fairness  débil  fuerza  a  que  se  seleccione 
alguna  vez,  y  luego  pasa  a  ser  la  4,  también  obligadamente  seleccionable  por  el  fairness. 
Ahora,  una  expresión  adecuada  para  t  podría  ser: 

t  =  if  b-i  a  b2  then  2  else  (if  _,bi  a  b2  then  1  else  0  fi)  fi 

Dado  que  con  fairness  el  no  determinismo  es  no  acotado,  no  es  suficiente  que  la  función 
cota  t  varíe  en  el  orden  bien  fundado  (N,  <).  El  número  máximo  de  iteraciones  se  debe  acotar 
con  un  número  que  sea  mayor  que  todos  los  números  naturales.  Por  eso  se  recurre  al  conjunto 
de  los  ordinales  infinitos  (W,  <).  De  todos  modos  vemos  que  en  los  dos  ejemplos  previos 
alcanza  con  utilizar  ({0,  1},  <)  y  ({0,  1 , 2},  <),  respectivamente. 

Para  probar  terminación  con  fairness  fuerte  el  método  de  las  direcciones  útiles  es  similar.  En 
ambos  casos,  la  sensatez  se  prueba  del  modo  habitual:  se  asume  que  se  prueban  las  premisas 
y  que  no  hay  terminación,  y  se  llega  al  absurdo  de  encontrar  una  cadena  descendente  infinita 
en  el  orden  bien  fundado  utilizado.  Para  la  prueba  de  completltud,  en  cambio,  se  requiere  el 
uso  de  otro  lenguaje  de  aserciones. 


Programas  concurrentes 

Los  programas  concurrentes  ofrecen  la  posibilidad  de  computar  datos  más  rápidamente  que 
los  programas  secuenciales.  Esta  ventaja  en  la  velocidad,  que  se  torna  sumamente  necesaria 
en  determinadas  aplicaciones  (administración  de  alarmas,  soporte  quirúrgico,  pronóstico 
meteorológico,  etc.),  tiene  como  contrapartida  que  el  desarrollo  de  los  programas  resulta  en 
general  dificultoso,  los  errores  son  más  la  regla  que  la  excepción  aún  en  componentes 
pequeños.  De  esta  manera,  la  concurrencia  más  que  ningún  otro  paradigma  de  programación 
requiere  una  metodología  de  prueba  muy  rigurosa.  Debido  a  la  habitual  semántica  de 
intercalación  ( interleaving  en  inglés)  de  las  instrucciones  atómicas  de  los  distintos  componentes 
secuenciales  que  se  comunican  y  sincronizan,  sin  ninguna  asunción  de  simultaneidad  ni 
velocidad  de  ejecución,  volvemos  a  encontrarnos  con  el  no  determinismo  y  así  con  varias 
computaciones  y  estados  finales.  Como  novedades  de  esta  sección  tenemos,  entre  otras, 
problemas  con  la  composlclonalidad  y  la  completltud,  y  más  variedad  de  propiedades  a  probar, 
que  también  identificamos  en  la  segunda  parte  de  este  capítulo. 

Sintaxis  del  lenguaje  de  programación 

Consideramos  otra  extensión  de  PLW,  el  lenguaje  SVL  (por  shared  variables  language  en 
inglés,  es  decir  lenguaje  de  variables  compartidas),  que  agrega  la  composición  concurrente. 
Para  simplificar,  tratamos  solo  con  programas  de  la  forma: 
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S::S-  ||  ...  ||S, 


tal  que  ||  es  el  operador  de  concurrencia,  y  los  S¡  tienen  instrucciones  de  PLW  más 
eventualmente  una  instrucción  de  retardo  condicional  para  la  sincronización,  la  instrucción 
awalt.  Se  permite  además  un  primer  subprograma  secuencial  para  inicialización  de  variables. 
La  sintaxis  del  awalt  es: 


awalt  B  then  S  end 

B  es  una  expresión  booleana  y  S  tiene  Instrucciones  de  PLW  a  excepción  del  while  (es  decir 
que  no  hay  anidamlento  de  instrucciones  awalt  y  éstas  siempre  terminan).  Los  await  se  utilizan 
para  sincronizar  componentes,  de  modo  tal  que  avancen  solo  al  cumplirse  determinados 
criterios  de  consistencia,  o  bien  para  obtener  exclusividad  sobre  secciones  críticas  (secciones 
con  variables  compartidas  modificables).  La  semántica  informal  de  la  instrucción  awalt  es  la 
siguiente:  (a)  El  subprograma  asociado  accede  con  exclusividad  a  las  variables  de  B.  (b)  SI  B 
es  verdadera  se  ejecuta  S  atómicamente,  (c)  SI  B  es  falsa  se  libera  el  acceso  a  las  variables 
de  B  y  el  subprograma  queda  bloqueado  hasta  que  más  adelante  en  la  misma  situación 
pueda  progresar. 

Con  respecto  a  la  semántica  informal  del  lenguaje  SVL  en  general,  destacamos: 

•  El  control  de  un  programa  se  sitúa  en  distintos  lugares  al  mismo  tiempo,  uno  en  cada 
subprograma  secuencial. 

•  El  pasaje  de  Información  entre  los  distintos  componentes  de  un  programa  se  efectúa  a 
través  de  las  variables  compartidas.  La  atomicidad  definida  para  garantizar  la  consistencia 
de  este  pasaje  se  limita  al  skip,  el  await,  y  las  asignaciones  y  evaluaciones  de  expresiones 
booleanas  con  una  sola  referencia  crítica,  es  decir  una  sola  variable  compartida 
modificable.  Así  por  ejemplo,  la  asignación  x  :=  x  +  1  debe  escribirse  await  true  then 
x  :=  x  +  1  end,  para  que  sea  atómica.  No  obstante,  para  simplificar  la  notación 
evitaremos  los  awalt  en  las  asignaciones  y  evaluaciones,  entendiendo  que  se  emplean 
cuando  fuese  necesario. 

•  Por  la  semántica  de  intercalación  que  se  formaliza  enseguida,  un  mismo  programa  puede 
producir  computaciones  que  terminan,  fallan  (en  este  caso  produciendo  deadlock  o  bloqueo 
mortal,  producto  de  un  mal  empleo  de  la  instrucción  awalt,  que  se  manifiesta  con  uno  o 
más  subprogramas  bloqueados  indefinidamente),  o  no  terminan.  Todas  las  combinaciones 
de  intercalación  son  posibles,  a  menos  que  se  establezca  algún  tipo  de  fairness. 

El  siguiente  es  un  ejemplo  de  programa  SVL,  que  calcula  en  la  variable  n  el  factorial  de  un 
número  natural  N  >  1.  Si  y  S2  identifican  a  los  dos  componentes  que  contribuyen  al  cálculo,  uno 
haciendo  1  .  2 . 3  ....  y  el  otro  N  .  (N  -  1) .  (N  -  2) .  ...,  respectivamente: 
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Scfac  ■  ■  Ci  :=  true  ;  c2  :=  true  ;  i  :=  1  ;  k  :=  N  ;  n  :=  N  ; 


Si  ::  while  do  await  true  then 

if  i  +  1  <  k  then  i  :=  i  +  1  ;  n  :=  n  .  ¡  else  Ci  :=  false  f¡  end  od 

II 

S2 ::  while  c2  do  await  true  then 

if  k  -  1  >  i  then  k  :=  k  -  1  ;  n  :=  n  .  k  else  c2  :=  false  f¡  end  od 

Semántica  del  lenguaje  de  programación 

Completamos  primero  la  semántica  formal  en  el  marco  de  los  subprogramas  secuenciales 
de  SVL,  con  la  semántica  de  la  instrucción  await.  Se  define: 

Si  o  |=  B  y  (S,  o)  (E,  o’),  entonces  (await  B  then  S  end,  o)  (E,  o’) 

El  await  solo  avanza  si  la  expresión  B  es  verdadera.  Lo  hace  atómicamente,  y  siempre 
termina  porque  S  no  incluye  Instrucciones  while. 

Para  definir  la  semántica  formal  en  el  marco  de  un  programa  SVL  completo,  recurrimos 
como  siempre  a  la  relación  para  especificar  las  transiciones  entre  las  configuraciones,  ahora 
concurrentes,  que  son  pares  (T1||...||Tn,  o),  siendo  T¡  una  continuación  sintáctica  del 
subprograma  S¡,  y  o  el  estado  corriente,  único  para  todos  los  componentes.  La  transición  de 
una  configuración  concurrente  a  la  siguiente  se  define  de  la  siguiente  manera: 

Si  (T¡,  o)  ->  m,  o’),  entonces  (T1||...||Ti||...||Tn,  o)  -+M  (T1||...||T’||...||Tn,  o’) 

La  expresión  — >(¡,CT)  indica  que  la  computación  avanza  por  el  componente  1-éslmo,  a  partir  del 
estado  corriente  o.  Más  en  general,  se  define: 


(Sil I . . . | |Sn,  cr)  ->*h  (Ti  1 1  -  -  - ||Tn,  o’) 

tal  que  h  =  (i1,a)...(lk,0|<),  con  ok  =  o’,  es  la  historia  de  las  transiciones  desde  la  configuración 
inicial  (S-i||...||Sn,  o)  hasta  la  configuración  corriente  (T1||...||Tn,  o’).  Esta  definición  formaliza  la 
semántica  de  intercalación.  Se  puede  avanzar  paso  a  paso  por  cualquier  subprograma,  a 
menos  que  se  establezca  algún  tipo  de  fairness  que  restrinja  la  selección  no  determinístlca. 
Como  antes,  n(S,  o)  denota  el  conjunto  de  todas  las  computaciones  tt(S,  o)  de  un  programa  S 
a  partir  de  un  estado  inicial  o,  y  también  el  árbol  de  computaciones  asociado.  Una  computación 
termina  si  es  finita  y  su  configuración  terminal  tiene  la  forma  (E1||...||En,  o’),  falla  (o  tiene 
deadlock)  si  es  finita  y  su  configuración  terminal  no  tiene  dicha  forma,  o  no  termina  si  es  infinita. 
La  función  semántica  asociada  a  SVL  es  M:  SVL  ->■  (I  P(E)),  siendo  M(S)(o)  =  {val(Tr(S,  o))  | 
tt(S,  o)  g  n(S,  o)}.  M(S)(o)  puede  tener  estados  propios,  el  estado  de  falla  f  y  el  estado 
indefinido  1,  y  cumple  que  es  finito  o  contiene  al  1,  a  menos  que  se  asuma  fairness. 
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Semántica  de  las  fórmulas  de  correctitud 

Se  mantiene  la  semántica  de  las  fórmulas  {p}  S  {q}  y  (p)  S  (q)  definida  para  el  paradigma  no 
determinístico,  considerando  ahora  el  lenguaje  SVL  en  lugar  de  GCL,  y  que  las  fallas  son  por 
deadlock.  Es  decir,  un  programa  S  es  parcialmente  correcto  con  respecto  a  una  especificación 
(p,  q)  si  y  solo  si  para  todo  par  de  estados  o  y  o’: 

(o  |—  p  a  o’  E  M(S,  o)  a  cj'  ^  f  a  o’  ^  1)  — >  o’  |— ■  q 

Por  su  parte,  S  es  totalmente  correcto  con  respecto  a  (p,  q)  si  y  solo  si  para  todo  par  de 
estados  o  y  o’: 


(o  |—  p  a  o’  E  M(S,  o))  — >  (o’  ^  f  A  q1  í  i  A  o’  |=  q) 

Queda  como  ejercicio  para  el  lector  probar  que  nuevamente  podemos  expresar  la  fórmula 
(p)  S  (q)  con  la  conjunción  {p}  S  {q}  a  (p)  S  (true). 

En  el  paradigma  concurrente,  a  las  propiedades  básicas  a  verificar  de  correctltud  parcial, 
ausencia  de  deadlock  y  terminación,  se  les  suelen  agregar  otras  dos,  la  exclusión  mutua  o 
ausencia  de  interferencia  y  la  ausencia  de  inanición  (starvation  en  inglés).  En  lo  que  sigue 
hacemos  alguna  mención  a  la  prueba  de  estas  propiedades  adicionales. 

Método  O  de  verificación  de  correctitud  parcial 

El  nombre  del  método  proviene  del  de  su  creadora,  S.  Owicki.  A  los  axiomas  y  reglas  de  H 
se  les  deben  agregar  en  principio  dos  reglas  (veremos  que  se  necesita  una  más),  una  para  el 
await  y  otra  para  la  composición  concurrente.  La  regla  del  await  (AWAIT)  es  naturalmente 
similar  a  la  del  condicional  (COND): 


{p  a  B}  S  {q} 

{p}  await  B  then  S  end  {q} 

El  eventual  deadlock  producido  por  el  await  se  considera  en  el  método  O*  de  verificación  de 
correctitud  total. 

Para  la  composición  concurrente,  la  forma  natural  de  la  regla  asociada  debería  basarse  en 
el  mismo  esquema  composicional  de  la  regla  de  la  secuencia  (SEC),  es  decir,  a  partir  de  las 
premisas  {pl }  SI  {ql},  ...  ,  {pn}  Sn  {qn},  debería  derivarse  la  conclusión: 

{Pl  A  ...  APnjS!  ||  ...  ||  Sn^A  ...  A  qn} 

Pero  lamentablemente  la  composicionalidad  al  menos  así  planteada  se  pierde  en  la 
concurrencia.  A  diferencia  de  la  programación  secuenclal,  no  existe  una  conexión  directa  entre 
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las  asignaciones  que  lleva  a  cabo  un  componente  y  los  valores  que  obtiene  cuando  accede  a 
las  variables  afectadas.  Cuando  las  variables  son  compartidas,  los  valores  también  dependen 
de  las  asignaciones  de  otros  componentes.  Por  ejemplo,  se  cumple: 

{x  =  0}  Si  ::  x  :=  x  +  2  {x  =  2}  y  {x  =  0}  S2 ::  z  :=  x  {z  =  0} 

pero  no  se  cumple: 


{x  =  0}  Si  ::  x  :=  x  +  2  ||  S2 ::  z  :=  x  {x  =  2  a  z  =  0} 

porque  al  final  también  puede  cumplirse  z  =  2.  Es  decir,  la  fórmula  correcta  es: 

{x  =  0}  S-i  ::  x  :=  x  +  2  ||  S2 ::  z  :=  x  {x  =  2  a  (z  =  0  v  z  =  2)} 

Más  aún,  esta  última  fórmula  no  se  cumple  si  se  reemplaza  Si  por  el  subprograma 

funclonalmente  equivalente  S3  ::  x  :=  x  +  1  ;  x  :=  x  +  1.  Efectivamente,  para  toda  especificación 
(p,  q)  vale  {p}  Si  {q}  <->  {p}  S3{q},  a  pesar  de  lo  cual  la  fórmula: 

{x  =  0}  S3 ::  x  :=  x  +  1  ;  x  :=  x  +1  ||  S2 ::  z  :=  x  {x  =  2  a  (z  =  0  v  z  =  2)} 

no  se  cumple  porque  al  final  también  puede  darse  la  Igualdad  z  =  1.  Es  decir,  la  fórmula 

correcta  es  en  este  caso: 

{x  =  0}  S3 ::  x  :=  x  +  1  ;  x  :=  x  +1  ||  S2 ::  z  :=  x  {x  =  2  a  (z  =  0  v  z  =  1  vz  =  2)} 

Así,  a  diferencia  de  lo  que  sucede  en  la  composición  secuencial,  en  la  composición 
concurrente  dos  subprogramas  funcionalmente  equivalentes  no  necesariamente  son 
intercambiables,  se  pierde  la  noción  de  caja  negra. 

Existe  una  aproximación  composicional,  que  requiere  primero  enriquecer  la  especificación 
de  cada  componente  con  información  de  la  interacción  con  el  resto,  lo  cual  torna  en  general 
dificultoso  construir  la  prueba.  También  hay  aproximaciones  que  ignoran  la  estructura  del 
programa,  tratando  directamente  las  computaciones  como  un  todo  (apoxlmaclón  global),  o 
bien  transformando  el  programa  concurrente  original  en  un  programa  no  determinístlco 
equivalente  (aproximación  reduccionista).  Con  la  aproximación  global  trabajamos  en  la 
segunda  parte  del  capítulo.  El  problema  con  esta  metodología  es  que  al  ignorar  los 
componentes,  no  puede  utilizarse  como  guía  para  la  construcción  sistemática  de  programas. 
Otra  alternativa,  muy  difundida  y  que  es  la  que  presentamos  en  esta  sección,  sin  ser 
composicional  respeta  la  estructura  modular  del  programa.  La  ¡dea  sigue  siendo  derivar  a 
partir  de  {pi}  Si  {qi},  ....  {pn}  Sn  {qn},  la  fórmula  {pi  a  ...  a  p„}  Si  ||  ...  ||  Sn  {qi  a  ...  a  qn}.  Se 
plantea  una  prueba  en  dos  etapas: 
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•  En  una  primera  etapa  se  construye  una  proof  outline  (esquema  de  prueba)  para  cada 
componente,  que  no  es  más  que  el  componente  anotado  con  una  prueba  del  mismo 
utilizando  el  método  H  ampliado  con  la  regla  AWAIT.  Se  intercalan  aserciones  pre(S)  y 
post(S)  antes  y  después  de  cada  instrucción  S,  respectivamente,  entendiendo  que  las 
aserciones  son  verdaderas  en  esos  puntos  de  control,  considerándolos  aisladamente. 

•  Y  en  la  segunda  etapa  las  proof  outlines  se  consisten:  se  chequea  que  todas  las 
aserciones  sean  verdaderas  considerando  ahora  el  programa  completo,  contemplando 
cualquier  posible  computación  (se  dice  que  las  proof  outlines  deben  ser  Ubres  de 
interferencia).  Más  precisamente:  para  toda  aserción  r  de  una  proof  outline  y  toda 
aserción  pre(S)  de  otra,  tal  que  S  es  un  awalt  o  una  asignación  no  incluida  en  un  await 
(se  la  conoce  como  asignación  normal),  se  debe  cumplir  la  fórmula  {r  a  pre(S)}  S  {r}.  En 
otras  palabras,  todas  las  aserciones  de  las  proof  outlines  deben  ser  invariantes, 
cualquiera  sea  la  computación  concurrente  ejecutada,  y  para  ello  basta  con  tener  en 
cuenta  solo  las  instrucciones  que  pueden  modificar  variables,  que  son  el  await  y  las 
asignaciones  normales. 

Justamente  por  la  invarlancla  de  las  aserciones  de  las  proof  outlines,  luego  de  ejecutarse  el 
programa  S-i  ||  ...  ||  Sn  a  partir  de  p,  a  ...  a  pn  valdrá  naturalmente  q-i  a  ...  a  qn.  No  hay 
composlclonalidad,  no  alcanza  con  utilizar  fórmulas  de  correctltud,  se  debe  analizar  la 
estructura  de  los  componentes  y  cómo  interactúan  entre  ellos,  los  componentes  deben  tratarse 
como  cajas  blancas. 

Las  proof  outlines  {pre(S)}  S  {post(S)}  se  definen  inductivamente  de  la  siguiente  manera: 

•  Si  S  ::  skip,  entonces  pre(S)  post(S) 

•  Si  S  ::  x  :=  e,  entonces  pre(S)  post(S)[x|e] 

•  Si  S  ::  Si  ;  S2,  entonces  pre(S)  pre(Si),  post(Si)  pre(S2),  post(S2)  post(S) 

•  Si  S  ::  if  B  then  Si  else  S2  fi,  entonces  pre(S)  a  B  ^  pre(Si),  pre(S)  a  -.B  pre(S2), 

post(S-i)  post(S),  post(S2)  post(S) 

•  De  modo  similar  se  define  para  la  repetición  y  el  await  (queda  como  ejercicio  para  el  lector). 

Así  llegamos  a  la  formulación  de  la  regla  de  la  composición  concurrente  (CONC): 

{Pi}  Si  {q^,  ...  ,  {pn}  Sn  {qn},  proof  outlines  libres  de  interferencia 
{Pi  a  ...  a  pn}  Si  ||  ...  ||  Sn  {qi  A  ...  A  qn} 

La  regla  CONC  es  en  realidad  una  meta-regla,  porque  no  tiene  como  premisas  fórmulas  de 
correctltud.  El  chequeo  de  que  las  proof  outlines  sean  libres  de  interferencia  tornan  las  pruebas 
muy  trabajosas:  dados  dos  subprogramas  de  tamaño  ni  y  n2,  en  la  segunda  etapa  hay  que 
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verificar  rn  .  n2  fórmulas  de  correctitud.  De  todas  maneras  en  la  práctica  muchas  validaciones 
se  resuelven  trivialmente.  Un  caso  típico  se  da  cuando  la  aserción  r  y  la  instrucción  S  no 

comparten  variables.  Otro  caso  es  cuando  resulta  falsa  la  conjunción  r  a  pre(S),  situación  que 

representa  una  computación  que  no  puede  suceder. 

Ejemplo  de  aplicación  del  método  O 

Probamos  a  continuación  {x  =  0}  x  :=  x  +  1  ||  x  :=  x  +  2  {x  =  3}.  Proponemos  las  siguientes 
proof  outlines: 

a.  {x  =  0  v  x  =  2}  x  :=  x  +  1  {x  =  1  v  x  =  3} 

b.  {x  =  0  v  x  =  1}  x  :=  x  +  2  {x  =  2  v  x  =  3} 


Una  técnica  habitual  para  obtener  las  proof  outlines  es  debilitar  las  aserciones, 
considerando  las  distintas  computaciones.  Por  ejemplo,  en  la  precondición  de  la  primera  proof 
outline  se  reemplaza  x  =  0  por  x  =  0  v  x  =  2,  teniendo  en  cuenta  la  asignación  de  la  segunda 
proof  outline.  Hay  que  probar  que  las  proof  outlines  son  libres  de  interferencia,  es  decir  que  las 
siguientes  fórmulas  son  verdaderas: 

1.  {(x  =  0vx  =  2)a(x  =  0vx=1)}x:=x  +  2{x  =  0vx  =  2} 

2.  {(x  =  1vx  =  3)a(x  =  0vx  =  1)}x:=x  +  2{x  =  1vx  =  3} 

3.  {(x  =  0  v  x  =  1 )  a  (x  =  0  v  x  =  2)}  x  :=  x  +  1  {x  =  0  v  x  =  1} 

4.  {(x  =  2  v  x  =  3)  a  (x  =  0  v  x  =  2)}  x  :=  x  +  1  {x  =  2  v  x  =  3} 


Queda  como  ejercicio  para  el  lector  comprobar  que  las  proof  outlines  propuestas  son 
correctas  y  libres  de  interferencia.  Finalmente,  como  se  cumple  que  la  precondición  del 
programa  implica  la  conjunción  de  las  precondiciones  de  las  proof  outlines,  y  la  conjunción  de 
las  postcondiciones  de  las  proof  outlines  implica  la  postcondición  del  programa,  es  decir: 

5.  x  =  0  -»  ((x  =  0  v  x  =  2)  a  (x  =  0  v  x  =  1 )) 

6.  ((x  =  1  v  x  =  3)  a  (x  =  2  v  x  =  3))  -»  x  =  3 

aplicando  las  reglas  CONC  y  CONS  se  llega  a  {x  =  0}  x  :=  x  +  1  ||  x  :=  x  +  2  {x  =  3}. 

Extensión  del  método  O 

Ya  anticipamos  que  el  método  O  tiene  una  regla  más.  El  debilitamiento  de  las  aserciones, 
necesario  para  que  las  proof  outlines  sean  libres  de  interferencia,  atenta  contra  la  completitud  del 
método.  En  efecto,  el  método  definido  hasta  ahora  no  es  completo,  y  la  nueva  regla  se  introduce 

para  que  lo  sea.  Por  ejemplo,  claramente  la  fórmula  {x  =  0}  x  :=  x  +  1  ||  x  :=  x  +  1  {x  =  2}  es 

verdadera.  Las  proof  outlines  naturales  para  probarla  son: 

a.  {x  =  0  v  x  =  1}  x  :=  x  +  1  {x  =  1  v  x  =  2} 
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b.  {x  =  O  v  x  =  1}  x  :=  x  +  1  {x  =  1  v  x  =  2} 


pero  no  son  libres  de  interferencia  ni  conducen  a  la  postcondición  requerida  (la  comprobación 
de  esto  queda  como  ejercicio  para  el  lector).  En  este  caso  las  aserciones  son  demasiado 
débiles,  con  la  única  variable  de  programa  x  no  alcanza  para  registrar  la  historia  de  la 
computación  ejecutada,  se  avance  por  uno  u  otro  componente  el  estado  intermedio  es  el 
mismo,  satisfaciendo  x  =  1  (cuando  en  el  ejemplo  anterior  en  un  caso  satisfacía  x  =  1  y  en  el 
otro  x  =  2,  lo  que  explica  por  qué  se  logró  la  prueba).  Cualquier  intento  con  otro  par  de  proof 
outlines  es  infructuoso,  lo  que  se  puede  verificar  formalmente.  Suponiendo  lo  contrario 
obtenemos  una  contradicción: 


1.  {p -i }  x  x  +  1  {q-i} 

2.  {p2}  x  :=  x  +  1  {q2} 

3.  x  —  0  — >  (p-j  a  p2) 

4.  (qi  a  q2)  ->  x  =  2 

5.  {pi  a  p2}  x  :=  x  +  1  {Pt} 

6.  (p-i  a  p2}  x  :=  x  +  1  {p2} 

7.  (Pi  a  p2)  >  (q-i  a  q2)[x  |x+1] 

8.  (Pl  A  p2)  >  (Pl  A  p2)[X  |X"M] 

9.  (p-i  a  p2)  -»  Vx  >  0  :  p-i  a  p2 

10.  (p-i  a  p2)  — »  Vx  >  1  :  q-i  a  q2 

11.  x  =  0-»Vx>1:x  =  2 


supuesta  proof  outline  del  primer  componente 

supuesta  proof  outline  del  segundo  componente 

para  llegar  por  CONS  a  la  precondición  x  =  0 

para  llegar  por  CONS  a  la  postcondición  x  =  2 

por  la  libertad  de  interferencia 

por  la  libertad  de  interferencia 

por  1  y  2 

por  5  y  6 

por  8 

por  7  y  9 

por  3,  4  y  10,  lo  cual  es  falso 


Intuitivamente  podría  observarse  que  el  problema  radica  en  el  paso  8,  la  imposibilidad  de 
registrar  cuántas  veces  puede  ser  incrementada  la  variable  x. 

El  objetivo  de  la  nueva  regla,  que  describimos  enseguida,  es  poder  ampliar  el  programa  con 
variables  auxiliares  y  nuevas  asignaciones  que  permitan  fortalecer  las  aserciones  de  las  proof 
outlines,  pero  sin  afectar  el  cómputo  original.  Para  ilustrar  la  idea  consideremos  el  ejemplo 
anterior.  Ampliamos  el  programa  con  una  variable  y  en  el  primer  componente  y  una  variable  z 
en  el  segundo  componente,  las  inicializamos  en  0,  y  les  asignamos  el  valor  1  una  vez  que  el 
componente  respectivo  incrementa  la  variable  x,  de  modo  tal  de  contribuir  a  fortalecer  la 
registración  de  la  computación  llevada  a  cabo.  El  fragmento  inicial  del  programa  ampliado 
puede  anotarse  del  siguiente  modo: 


{x  =  0}y:=0;{x  =  0Ay  =  0}z:=0;{x  =  0Ay  =  0AZ  =  0} 


y  las  aserciones  de  las  proof  outlines  se  pueden  reforzar  así: 

a’.  {(x  =  0Ay  =  0AZ  =  0)v(x=lAy  =  0AZ=1)} 
await  true  then  x  :=  x  +  1  ;  y  :=  1  end 
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{(x=lAy=lAZ  =  0)v(x  =  2Ay=lAZ=1)} 


b’.  {(x  =  O  a  y  =  O  a  z  =  0)  v  (x  =  1  a  y  =  1  a  z  =  0)} 
await  true  then  x  :=  x  +  1  ;  z  :=  1  end 
{(x=lAy  =  0AZ=1)v(x  =  2Ay=lAZ=1)} 


Es  fácil  comprobar  que  se  llega  a  la  prueba  de  {x  =  0}  S’  {x  =  2},  siendo  S’  el  programa 
ampliado  (queda  como  ejercicio  para  el  lector).  Y  como  las  nuevas  asignaciones  no  afectan  al 
cómputo  de  x,  entonces  la  prueba  también  vale  para  el  programa  original  con  la  misma 
especificación. 

La  nueva  regla  del  método  O  se  denomina  AUX  (por  las  variables  auxiliares)  y  tiene  la 
siguiente  forma: 


{Pl  S  {q} 

{P}  S  |A  {q} 

A  es  el  conjunto  de  variables  auxiliares,  S  el  programa  ampliado  y  S  |A  el  programa  original. 
Las  variables  de  A  solo  forman  parte  de  las  nuevas  asignaciones,  y  si  aparecen  en  su  parte 
derecha  también  aparecen  en  su  parte  izquierda.  La  postcondición  q  no  incluye  variables  de  A. 
No  es  necesaria  esta  misma  restricción  para  la  precondición  p,  porque  las  variables  auxiliares 
pueden  servir  como  variables  de  especificación. 

Método  O*  de  verificación  de  correctitud  total 

La  correctltud  total  de  un  programa  SVL  Implica  su  correctitud  parcial,  ausencia  de  deadlock 
y  terminación.  Al  Igual  que  para  la  prueba  de  correctltud  parcial,  el  método  O*  plantea  para  la 
prueba  del  resto  de  las  propiedades  partir  de  proof  outlines  libres  de  interferencia  (pueden  ser 
distintas  para  cada  propiedad).  La  prueba  de  ausencia  de  deadlock  consiste  en  lo  siguiente: 

•  Marcar  en  las  proof  outlines  todos  los  casos  posibles  de  deadlock.  Esto  se  hace 
identificando  tupias  C¡  =  (A-i,  ...,  Án),  tantas  como  casos  posibles  de  deadlock  existan  en  un 
programa  con  n  componentes.  Las  Ák  son  etiquetas  asociadas  a  un  await  o  al  final  de  un 
subprograma  Sk  (toda  C¡  debe  tener  al  menos  una  etiqueta  asociada  a  un  await). 

•  Caracterizar  semánticamente  las  tupias  C¡  mediante  aserciones  5¡,  conocidas  como 
imágenes  semánticas,  y  probar  que  todas  ellas  son  falsas.  Las  5¡  son  conjunciones  de 
aserciones  5¡k  que  cumplen:  (a)  SI  la  etiqueta  Ák  de  C¡  está  asociada  a  una  Instrucción  T  :: 
await  B  then  U  end,  entonces  5¡k  =  pre(T)  a  -iB,  es  decir,  se  niega  B  para  plantear  un 
hipotético  caso  de  bloqueo,  (b)  SI  la  etiqueta  Ák  de  C¡  está  asociada  al  final  de  un 
subprograma  Sk,  entonces  5¡k  =  post(Sk).  De  este  modo,  si  todas  las  imágenes  semánticas 
resultan  falsas  significa  que  no  existe  ningún  caso  de  deadlock. 
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Por  ejemplo,  sean  las  siguientes  proof  outlines  de  un  esquema  de  programa  SVL  con  tres 
componentes,  en  donde  ya  aparecen  las  etiquetas  Ak: 

a.  Si  {pre(T t)}  Ai  ::  awalt  Bi  then  LL  end  ...  A2— >  {post(Si)} 

b.  S2 ::  ...  A3^  {post(S2)| 

c.  S3 ::  ...  {pre(T2)}  A4^  T2 ::  awalt  B2  then  U2  end  ...  A5 -^{post(S3)} 

Los  casos  posibles  de  deadlock  son  C-,  =  <A1(  A3,  A4>,  C2  =  <A1;  A3,  A5>,  yC3=  <A2,  A3,  A4>,  y 
las  imágenes  semánticas  asociadas  son  5i  =  (pre(T 4)  a  -.B-i)  a  post(S2)  a  (pre(T2)  a  — iB2),  52  = 
(pre(Ti)  a  — .B-i)  a  post(S2)  a  post(S3),  y  53  =  post(Si)  a  post(S2)  a  (pre(T2)  a  — ,B2).  La  prueba  se 
completa  verificando  que  las  aserciones  Si,  52  y  53  son  falsas. 

Con  respecto  a  la  prueba  de  terminación,  a  partir  de  proof  outlines  libres  de  interferencia  el 
método  establece  dos  cláusulas: 

•  Los  valores  de  una  función  cota  t  utilizada  para  probar  la  terminación  de  un  while  de  un 
componente  no  pueden  incrementarse  por  efecto  de  una  instrucción  await  o  una  asignación 
normal  S  de  otro  componente.  SI  esto  ocurre  significa  que  el  while  puede  no  terminar.  Se 
plantea  entonces  chequear,  para  toda  t  de  una  proof  outline  y  toda  S  de  otra  proof  outline, 
que  se  cumpla  (t  =  Z  a  pre(S))  S  (t  <  Z).  Notar  que  un  componente  puede  acortar  la 
duración  de  un  while. 

•  Todas  las  aserciones  utilizadas  en  una  proof  outline  para  establecer  el  decrecimiento  de 
una  función  cota  deben  ser  libres  de  interferencia. 

Ejemplos  de  aplicación  del  método  O* 

Se  propone  al  lector  probar  ausencia  de  deadlock  en  el  programa  que  calcula  el  factorial 
presentado  al  comienzo  de  la  sección.  La  prueba  es  sencilla  dado  que  las  negaciones  de  las 
expresiones  booleanas  de  los  awalt  resultan  directamente  falsas. 

Aplicamos  ahora  el  método  O*  para  verificar  terminación.  La  fórmula  a  probar  es: 

(x  >  0  a  par(x))  while  x  >  2  do  x  :=  x  -  2  od  ||  x  :=  x  -  1  (x  =  1  > 

y  las  proof  outlines  propuestas  son: 

a.  (x  >  0)  while  x  >  2  do  (x  >  2)  x  :=  x  -  2  (x  >  0)  od  (x  =  1  v  x  =  2) 

b.  (par(x))  x  :=  x  -  1  (impar(x)) 

donde  par(x)  e  impar(x)  expresan  que  x  es  par  o  Impar,  respectivamente.  El  invariante  del 
while  es  p  =  x  >  0,  y  la  función  cota  utilizada,  no  anotada  en  la  proof  outline,  es  t  =  x.  Queda 
como  ejercicio  para  el  lector  completar  la  prueba.  Para  remarcar  la  necesidad  de  la  segunda 
cláusula  establecida  por  el  método  O*,  consideremos  ahora  este  otro  programa: 
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Si  ::  while  x  >  O  do  y  :=  O  ;  if  y  =  O  then  x  :=  x  -  1  else  y  :=  O  f¡  od 

II 

S2 ::  while  x  >  0  do  y  :=  1  ;  if  y  =  1  then  x  :=  x  -  1  else  y  :=  1  fi  od 

El  programa  puede  no  terminar.  Es  posible  por  ejemplo  que  se  ejecute  una  computación 
infinita  en  que  se  alternen  las  asignaciones  y  :=  0  e  y  :=  1.  Una  función  cota  apropiada  para  las 
dos  repeticiones  es  t  =  x,  que  aisladamente  sirve  para  probar  su  terminación.  Pero 
considerando  las  proof  outlines  en  conjunto  se  observa  que  la  segunda  cláusula  del  método  no 
se  satisface.  La  aserción  y  =  0  necesaria  antes  del  if  en  Si  para  garantizar  el  decrecimiento  de 
x  no  se  preserva  debido  a  la  asignación  y  :=  1  de  S2.  Lo  mismo  sucede  en  S2  con  la  aserción  y 
=  1  con  respecto  a  la  asignación  y  :=  0  de  Si. 

La  prueba  de  terminación  asumiendo  fairness  se  basa  en  las  mismas  ¡deas  desarrolladas  en 
la  sección  anterior.  Por  ejemplo,  a  partir  de  x  =  1  el  programa: 

while  x  =  1  do  skip  od  ||  x  :=  0 

termina  con  fairness  débil  (y  también  fuerte).  Una  función  cota  apropiada  para  el  while  es  t  =  x, 
que  en  algún  momento  llega  a  0  porque  por  el  fairness  la  asignación  x  :=  0  se  ejecuta  alguna  vez. 

Extensión  del  método  O* 

Otras  dos  propiedades  que  se  suelen  considerar  en  la  verificación  de  un  programa 
concurrente  son  la  exclusión  mutua,  para  asegurar  que  ningún  subprograma  manipule 
inadecuadamente  variables  que  comparte  con  otro,  y  la  ausencia  de  inanición,  para  asegurar 
que  todo  subprograma  que  compita  con  otro  por  un  recurso  lo  obtenga  alguna  vez.  La 
exclusión  mutua,  al  Igual  que  la  correctltud  parcial  y  la  ausencia  de  deadlock,  se  clasifican 
como  propiedades  safety  (del  inglés:  seguridad).  La  ausencia  de  inanición,  como  la 
terminación,  pertenecen  a  la  clase  de  las  propiedades  liveness  (del  inglés:  vivacidad).  Una 
caracterización  informal  muy  conocida  establece  que  las  propiedades  safety  se  asocian  con 
“cosas  malas  que  no  pueden  suceder”  (resultado  no  deseado,  bloqueo,  interferencia,  etc.), 
mientras  que  las  propiedades  liveness  se  asocian  con  “cosas  buenas  que  van  a  suceder” 
(finitud,  obtención  de  recurso,  etc). 

Las  propiedades  safety  se  distinguen  porque  se  prueban  empleando  Inducción.  En  particular, 
la  prueba  de  exclusión  mutua  mediante  el  método  O*  se  puede  plantear  de  una  manera  muy 
similar  a  la  de  ausencia  de  deadlock  (queda  como  ejercicio  para  el  lector).  La  prueba  de  una 
propiedad  liveness,  en  cambio,  se  basa  en  la  utilización  de  un  orden  bien  fundado.  La  ausencia 
de  inanición  particularmente  se  puede  probar  empleando  el  método  O*  de  una  manera  muy 
similar  a  la  prueba  de  terminación  (también  queda  como  ejercicio  para  el  lector).  Existen  otras 
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caracterizaciones  de  estas  dos  clases  de  propiedades,  una  de  ellas  es  sintáctica  empleando  un 
lenguaje  de  la  lógica  temporal,  que  se  describe  en  la  segunda  parte  de  este  capítulo. 

Sensatez  y  completitud  de  los  métodos  O  y  O* 

La  sensatez  de  la  regla  AWAIT  se  prueba  de  la  misma  manera  que  probamos  la 
sensatez  de  la  regla  COND  del  método  H.  La  sensatez  de  la  regla  AUX  se  prueba 
trivialmente  teniendo  en  cuenta  que  el  programa  ampliado  tiene  solo  asignaciones  a 
variables  que  no  alteran  el  cómputo  del  programa  original.  CONC  es  una  meta-regla,  y  por 
lo  tanto  para  probar  su  sensatez  se  requiere  una  aproximación  distinta  de  la  que  venimos 
utilizando.  Las  premisas  no  pertenecen  al  lenguaje  de  las  fórmulas  de  correctitud,  sino  que 
se  parte  de  un  conjunto  de  proof  outlines  libres  de  interferencia.  Se  prueba  inductivamente 
lo  que  se  conoce  como  preservación  composicional'.  toda  instrucción  S  que  se  ejecuta  a 
partir  de  un  estado  que  satisface  la  precondición  pre(S),  termina  en  un  estado  que 
satisface  la  postcondición  post(S).  Esto  se  cumple  por  la  libertad  de  interferencia.  La  base 
de  la  inducción  considera  la  configuración  inicial,  en  la  que  el  estado  inicial  satisface  la 
conjunción  de  las  precondiciones  pre(S¡).  El  paso  inductivo  contempla  cualquier  transición 
con  la  que  se  avanza  por  algún  subprograma.  Y  se  llega  al  estado  final  satisfaciendo  la 
conjunción  de  las  postcondiclones  post(S¡). 

La  prueba  de  completitud  del  método  O  se  basa  en  las  mismas  ¡deas  desarrolladas  en  las 
secciones  anteriores,  salvo  que  ahora  también  contempla  la  expresividad  de  la  historia  de  las 
computaciones  empleando  variables  auxiliares. 

También  la  sensatez  y  completitud  del  método  O*,  en  lo  que  hace  a  la  prueba  de 
terminación,  se  prueban  como  en  los  paradigmas  anteriores.  La  sensatez  de  la  meta-regla  para 
verificar  ausencia  de  deadlock  se  deriva  de  la  libertad  de  interferencia  de  las  proof  outlines  y  de 
la  naturaleza  de  las  aserciones  que  conforman  las  imágenes  semánticas  asociadas  a  las 
hipotéticas  situaciones  de  deadlock.  Cabe  remarcar  que  encontrar  una  prueba  de  ausencia  de 
deadlock  depende  fuertemente  de  cómo  se  definan  las  proof  outlines,  no  necesariamente 
sirven  las  que  establecen  la  correctitud  parcial. 


Lógica  de  programas  reactivos 

A  diferencia  de  los  programas  de  entrada/salida,  el  objetivo  principal  de  los  programas 
reactivos  no  es  producir  resultados  sino  interactuar  perpetuamente  con  el  entorno.  Es  el  caso 
por  ejemplo  de  los  sistemas  operativos  y  de  programas  creados  para  controlar  procesos.  Por  lo 
tanto  no  corresponde  especificarlos  mediante  un  par  de  aserciones  como  hemos  venido 
haciendo.  Más  aún,  a  partir  de  los  trabajos  de  A.  Pnueli,  para  verificar  programas  reactivos  está 
ampliamente  aceptado  utilizar  una  lógica  alternativa  a  la  lógica  clásica  descripta  en  el  primer  y 
segundo  capítulo,  la  lógica  temporal  (una  de  las  ¡nstanciaciones  posibles  de  la  lógica  modal 
introducida  en  el  capítulo  anterior),  más  adecuada  para  especificar  y  probar  la  variedad  de 
propiedades  que  se  plantean.  Las  fórmulas  manipuladas  por  los  métodos  de  verificación  en 
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este  contexto  son  directamente  las  de  dicha  lógica,  las  cuales  deben  ser  satisfechas  por  las 
computaciones  de  los  programas.  En  un  sentido  mantenemos  así  la  idea  de  lógica  de 
programas,  porque  las  computaciones  de  los  programas  reactivos  se  asocian  íntimamente  con 
propiedades  expresadas  por  fórmulas  de  la  lógica  temporal. 

Manteniendo  el  criterio  de  uniformidad  con  lo  desarrollado  previamente,  seguimos 
trabajando  con  el  dominio  semántico  de  los  números  enteros,  y  volvemos  a  considerar  un 
modelo  de  ejecución  concurrente  con  variables  compartidas,  esta  vez  con  computaciones 
solo  infinitas,  y  con  un  no  determinismo  provocado  no  solo  implícitamente  por  la  semántica 
de  intercalación  de  las  instrucciones  atómicas,  sino  también  explícitamente  por 
instrucciones  no  determinístlcas. 

Repetimos  básicamente  la  misma  estructura  de  las  secciones  anteriores.  Primero 
definimos  los  lenguajes  de  programación  y  especificación,  y  posteriormente  presentamos 
un  método  de  verificación.  Ahora  en  particular  tenemos  que  describir  de  cero  los  axiomas  y 
reglas  de  la  lógica  temporal  en  la  que  el  método  se  basa,  pero  contamos  con  lo  estudiado 
en  el  capítulo  precedente. 


Lenguaje  de  programación 

Consideramos  una  extensión  de  SVL  conocida  como  SVT  (por  shared  variables  text  en 
inglés,  es  decir  texto  de  variables  compartidas),  que  incluye  entre  otras  cosas  las  instrucciones 
no  determinístlcas  de  GCL,  una  instrucción  de  agolpamiento  (S)  que  permite  ejecutar 
atómicamente  una  secuencia  de  instrucciones  S,  y  la  posibilidad  de  insertar  etiquetas  al 
comienzo  y  al  final  de  las  instrucciones.  Por  el  enfoque  de  esta  segunda  parte,  será  más  útil 
emplear  directamente  el  modelo  computaclonal  asociado  al  lenguaje  SVT,  conocido  como 
sistema  fair  de  transiciones,  que  se  suele  representar  con  diagramas  de  transiciones 
(enseguida  mostramos  un  ejemplo).  El  modelo  consiste  en  un  conjunto  de  procesos 
secuenciales  que  se  ejecutan  concurrentemente.  La  semántica  es  de  intercalación  de 
instrucciones  atómicas,  y  la  comunicación  se  efectúa  a  través  de  variables  compartidas.  Se 
distinguen  los  siguientes  componentes: 

•  Un  conjunto  V  de  variables  de  programa  x-i,  x2  y  variables  de  control  Ci,  c2,  ...  Hay  una 
variable  de  control  por  proceso,  y  sus  valores  son  etiquetas  que  Identifican  locaciones  en  el 
mismo. 

•  Un  conjunto  £  de  estados  ct0,  CTi,  ....  que  asignan  valores  a  las  variables  de  V. 

•  Un  conjunto  T  de  transiciones  t-, ,  t2,  ...,  entre  estados,  cada  una  producto  de  la  ejecución 
de  una  instrucción  atómica.  Para  expresar  la  condición  de  progreso  de  una  transición  t  de 
o  a  o’,  es  decir  la  condición  para  que  t  esté  habilitada,  y  la  relación  entre  o  y  su  sucesor  o’, 
se  utiliza  una  aserción  p(V,  V’),  o  directamente  p,  conocida  como  aserción  de  transición, 
donde  V  y  V’  se  refieren  a  los  valores  en  o  y  o’,  respectivamente.  Por  ejemplo,  la  aserción 
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p  =  (c-i  =  a0  a  x  <  10  a  c’-i  =  a-i  a  x’  =  x  +  1  a  Vy  e  (V  -  {x,  c^):  y’  =  y)  expresa  que  la 
transición  correspondiente  puede  progresar  desde  la  locación  a0  a  la  locación  a^  del 
proceso  P-i  cuando  el  estado  o  satisface  la  condición  x  <  10,  quedando  en  el  estado  o’  el 
valor  de  x  incrementado  en  1  y  los  valores  del  resto  de  las  variables  sin  modificar. 
Complementariamente,  de  manera  similar  a  lo  mostrado  en  la  primera  parte  de  este 
capítulo,  a  una  transición  t  se  le  puede  asociar  un  par  de  aserciones  (p,  q):  la  terna  {p}  t  {q} 
es  la  condición  de  verificación  de  t  con  respecto  a  p  y  q,  y  se  cumple  si  vale  la  implicación 
p  a  p  — >  q’.  Siguiendo  con  el  ejemplo  anterior,  p  podría  ser  x  =  0  y  q'  podría  ser  x’  =  1 . 

•  Una  condición  inicial  0,  que  es  una  aserción  que  caracteriza  los  estados  en  los  que  pueden 
comenzar  las  computaciones  (es  la  precondición). 

•  Una  familia  de  requerimientos  de  fairness  débil  y  una  familia  de  requerimientos  de  fairness 
fuerte.  Ambas  familias  son  conjuntos  de  transiciones.  Que  una  transición  t  pertenezca  a  la 
primera  o  segunda  familia  establece  la  restricción  de  que  no  puede  estar  siempre  o  infinitas 
veces  habilitada  en  una  computación  a  partir  de  un  momento  dado  sin  ser  ejecutada, 
respectivamente.  La  apertura  en  dos  familias  posibilita  asignar  requerimientos  de  fairness 
por  tipo  de  transición  (por  ejemplo  transición  de  sincronización,  de  comunicación,  etc). 

Una  computación  de  un  programa  P  de  SVT  es  una  secuencia  infinita  de  estados  tt  =  o0,  ct-i, 
...  Denotamos  como  siempre  con  n(P)  al  conjunto  de  computaciones  de  P.  El  siguiente  es  un 
ejemplo  de  diagrama  de  transiciones,  que  clarifica  lo  que  hemos  descrlpto: 


El  diagrama  representa  un  programa  P  con  dos  procesos  Pi  y  P2  que  se  ejecutan 
concurrentemente.  Los  nodos  representan  locaciones  y  los  arcos  transiciones.  Sobre  cada 
transición  se  explícita  mediante  un  comando  con  guardia  B  — »  S  la  instrucción  a  ser  llevada  a 
cabo,  significando  que  si  se  cumple  la  condición  B  estando  el  control  en  la  locación  de  origen, 
se  puede  ejecutar  atómicamente  la  instrucción  S  y  progresar  a  la  locación  de  destino. 
Suponiendo  que  al  comienzo  x  =  10,  la  condición  inicial  de  P  es: 

0  =  (x  =  1 0  a  c-i  =  a0  a  c2  =  b0) 

Pt  puede  progresar  de  a0  a  ella  misma  por  la  transición  t-i  o  la  transición  t2  (la  selección  es 
no  determinístlca),  porque  ambas  transiciones  están  habilitadas.  En  un  caso  P1  ejecuta  x  :=  0,  y 
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en  el  otro  x  :=  x  +  x.  Por  su  parte,  si  x  =  0,  P2  puede  ejecutar  el  skip  y  progresar  de  b0  a  b-,.  De 
esta  manera,  las  aserciones  p  asociadas  a  t-i,  T2y  t3  son,  respectivamente: 

p-i  =  (c-j  =  a0  a  true  a  c’i  =  a0  a  x’  =  0  a  Vy  e  (V  -  {x,  Ci}):  y’  =  y) 
p2  =  (c-i  =  a0  a  true  a  c’i  =  a0  a  x1  =  2x  a  Vy  e  (V  -  {x,  c-i}):  y’  =  y) 

P3  -  (C2  =  b0  a  x  =  0  a  c’2  =  b-i  a  x1  =  x  a  Vy  £  (V  -  {x,  c2}):  y’  =  y) 

Si  se  define  por  ejemplo  que  el  conjunto  completo  de  transiciones  T  está  incluido  en  la 
familia  de  requerimientos  de  fairness  débil,  se  cumple  que  el  proceso  P2  termina. 


Lenguaje  de  especificación 

Presentamos  un  lenguaje  de  la  lógica  temporal  para  especificar  programas  SVT.  El  lenguaje 
permite  expresar  mediante  fórmulas  temporales  propiedades  que  las  computaciones  de  los 
programas  (los  trames  valuados  o  modelos,  usando  terminología  del  capítulo  anterior)  deben 
satisfacer.  Sin  formalizar  todavía  su  sintaxis  y  semántica,  mostramos  a  continuación  algunos 
ejemplos  de  fórmulas  temporales,  en  todos  los  casos  interpretadas  sobre  una  computación  tt: 

G-'(SC1  a  SC2) 

Si  G  es  el  operador  temporal  “siempre”,  y  SC¡  significa  que  el  proceso  P¡  está  en  su  sección 
crítica,  la  fórmula  especifica  la  propiedad  de  que  P-,  y  P2  nunca  ocupan  sus  secciones  críticas 
en  un  mismo  estado  de  tt,  es  decir  que  expresa  la  exclusión  mutua  entre  P-,  y  P2.  Como 
segundo  ejemplo  sea  la  siguiente  fórmula: 


G(Pik  ->  FU  1k) 


SI  F  es  el  operador  temporal  “alguna  vez  en  el  futuro”,  y  P1k  significa  que  el  proceso  P-, 
solicita  un  recurso  k  y  U1k  que  P-,  utiliza  k,  la  fórmula  especifica  que  si  la  computación  tiene  un 
estado  o¡  en  el  que  Pi  solicita  el  recurso,  entonces  tiene  también  un  estado  o¡,  con  j  >  i,  en  el 
que  P -|  lo  utiliza,  es  decir  que  expresa  la  ausencia  de  inanición  de  P-i  con  respecto  al  recurso  k. 
Los  operadores  G  y  F  se  pueden  combinar  para  expresar  el  fairness  débil  y  el  fairness  fuerte. 
Si  H¡  significa  que  la  transición  t¡  está  habilitada  y  E¡  que  t¡  es  ejecutada,  entonces  las  fórmulas: 

FGH¡^GFE¡  y  GFH¡  ->  GFE¡ 

expresan  que  t¡  se  ejecuta  infinitas  veces  si  a  partir  de  un  momento  está  habilitada 
continuamente  o  infinitas  veces,  respectivamente. 
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Un  programa  satisface  una  especificación  si  todas  las  fórmulas  temporales  que  la 
componen  son  satisfechas  por  todas  las  computaciones  del  programa.  Estructurar  una 
especificación  como  una  lista  o  conjunción  de  propiedades  permite  que  pueda  definirse 
incrementalmente,  y  así,  si  se  la  advierte  Incompleta,  se  la  puede  corregir  agregándole  las 
propiedades  que  le  faltan. 

El  lenguaje  de  especificación  se  construye  a  partir  del  lenguaje  de  aserciones  utilizado  en 
las  secciones  anteriores,  el  lenguaje  Assn  (el  dominio  semántico  sigue  siendo  el  de  los 
números  enteros): 

•  Toda  aserción  del  lenguaje  Assn  es  una  fórmula  temporal.  En  este  caso  se  conoce  como 
fórmula  de  estado. 

•  El  resto  de  las  fórmulas  temporales  se  generan  a  partir  de  otras  utilizando  operadores 
booleanos,  operadores  temporales  y  cuantificadores. 

Describimos  a  continuación  formalmente  la  sintaxis  y  semántica  del  lenguaje  de 
especificación.  En  este  último  caso  definimos,  dada  una  computación  tt,  cuándo  una  fórmula  p 
se  cumple  en  la  posición  I  >  0  de  tt,  lo  que  se  denota  con  (tt,  i)  i=  p: 

•  SI  p  es  una  fórmula  de  estado,  (tt,  i)  i=  p  <-»  ct¡  t=  p.  Naturalmente  en  este  caso  alcanza  con 
evaluar  p  en  el  estado  o¡. 

•  (tt,  i)  t=  -'p  <-»  (tt,  i)  p 

•  (tt,  i)  i=  p  v  q  <-»  (tt,  i)  i=  p  v  (tt,  i)  i=  q.  Las  fórmulas  pAq,  p->qyp<->qse  pueden 
definir  en  términos  de  -■  y  v. 

Los  operadores  temporales  se  particionan  en  dos  grupos,  operadores  de  futuro  y 
operadores  de  pasado.  Si  bien  la  lógica  temporal  se  puede  definir  sin  pérdida  de  expresividad 
recurriendo  únicamente  a  operadores  de  futuro,  se  consideran  ambos  grupos  no  solo  para 
facilitar  su  uso,  sino  también  porque  por  medio  de  los  operadores  de  pasado  se  puede 
establecer  una  clasificación  de  propiedades  caracterizada  sintácticamente,  que  mostramos 
más  adelante.  Primero  consideramos  los  operadores  de  futuro: 

•  (tt,  i)  i=  Xp  <->  (tt,  I  +  1)  i=  p.  X  es  el  operador  temporal  de  futuro  next  (siguiente).  Xp  se 
cumple  en  una  posición  si  y  solo  si  p  se  cumple  en  la  posición  siguiente. 

•  (tt,  i)  i=  Gp  <-»  (tt,  j)  i=  p  para  todo  j  >  I.  G  es  el  operador  temporal  de  futuro  globally 
(globalmente  o  siempre).  Gp  se  cumple  en  una  posición  si  y  solo  si  p  se  cumple  en  dicha 
posición  y  en  todas  las  siguientes. 

•  (tt,  i)  i=  Fp  <->  (tt,  j)  i=  p  para  algún  j  >  I.  F  es  el  operador  temporal  de  futuro  future  (futuro  o 
alguna  vez  en  el  futuro).  Fp  se  cumple  en  una  posición  si  y  solo  si  p  se  cumple  en  dicha 
posición  o  en  alguna  posición  siguiente.  F  es  dual  del  operador  G:  para  todo  p,  Fp  se 
cumple  en  una  posición  si  y  solo  si  en  ella  se  cumple  _,G_,p. 
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•  (tt,  i)  i=  pllq  <-»  existe  algún  j  >  i  tal  que  (tt,  j)  i=  q,  y  para  todo  k,  siendo  i  <  k  <  j ,  se  cumple 
(tt,  k)  i=  p.  U  es  el  operador  temporal  de  futuro  until  (hasta),  pllq  se  cumple  en  una  posición 
i  si  y  solo  si:  (a)  q  se  cumple  en  dicha  posición,  o  (b)  q  se  cumple  en  alguna  posición 
siguiente  j  y  p  se  cumple  en  las  posiciones  i,  i  +  1,  ....  j  -  1. 

•  (tt,  i)  i=  pUwq  <->  (tt,  i)  i=  pllq  v  (tt,  i)  i=  Gp.  Uw  es  el  operador  temporal  de  futuro  weak  until 

(hasta  débil).  Mientras  que  pllq  garantiza  que  q  ocurre  en  el  futuro,  pUwq  expresa  una 

propiedad  más  débil:  p  se  cumple  hasta  la  siguiente  ocurrencia  de  q  o  continuamente. 

Los  siguientes  son  ejemplos  de  fórmulas  con  operadores  de  futuro  que  suelen  utilizarse: 

•  GFq.  Esta  fórmula  establece  que  q  se  cumple  infinitas  veces. 

•  FGq.  Esta  fórmula  establece  que  a  futuro  q  se  cumple  permanentemente. 

•  G(p  — *  Gp).  Esta  fórmula  establece  que  una  vez  que  se  cumple  p,  se  cumple  para  siempre. 

•  G(p  — »  Fq).  Esta  fórmula  establece  que  cuando  se  cumple  p  se  cumple  a  futuro  q. 

Los  operadores  temporales  de  pasado  constituyen  la  contraparte  simétrica  de  los  de  futuro. 

Definimos: 

•  (tt,  i)  t=  Yp  < — >  i  >  0  a  (tt,  i  —  1 )  t=  p.  Y  es  el  operador  temporal  de  pasado  yesterday  (ayer  o 

previo).  Yp  se  cumple  en  una  posición  si  y  solo  si  la  posición  no  es  la  primera  y  p  se 

cumple  en  la  posición  anterior.  Yp  es  falsa  en  la  primera  posición  cualquiera  sea  p. 

•  (tt,  i)  i=  Ywp  <-»  I  =  0  v  (i  >  0  a  (tt,  i  -  1)  i=  p).  Yw  es  el  operador  temporal  de  pasado 

yesterday  weak  (ayer  o  previo  débil),  dual  de  la  versión  fuerte,  porque  Ywp  =  -,Y-,p.  Notar 
que  para  todo  p,  en  la  primera  posición  Ywp  es  verdadera  y  ya  vimos  que  Yp  es  falsa, 
mientras  que  en  el  resto  de  las  posiciones  se  cumplen  las  dos  fórmulas  o  ninguna. 

•  (tt,  i)  t=  Hp  <-»  (tt,  j)  i=  p  para  todo  j  tal  que  0  <  j  <  i.  H  es  el  operador  temporal  de  pasado 

hlstorlcally  (históricamente  o  siempre  en  el  pasado).  Hp  se  cumple  en  una  posición  si  y  solo 
si  p  se  cumple  en  dicha  posición  y  en  todas  las  anteriores. 

•  (tt,  i)  i=  Op  <->  (tt,  j)  p  para  algún  j  tal  que  0  <  j  <  i.  O  es  el  operador  temporal  de  pasado 
once  (una  vez  o  alguna  vez  en  el  pasado).  Op  se  cumple  en  una  posición  si  y  solo  si  p  se 
cumple  en  dicha  posición  o  en  alguna  anterior.  O  es  dual  del  operador  H:  para  todo  p  se 
cumple  Op  si  y  solo  si  se  cumple  -,H-,p. 

•  (tt,  i)  i=  pSq  <-»  existe  algún  j,  con  0  <  j  <  i,  tal  que  (tt,  j)  i=  q,  y  para  todo  k,  siendo  j  <  k  <  i, 
se  cumple  (tt,  k)  i=  p.  S  es  el  operador  temporal  de  pasado  slnce  (desde).  pSq  se  cumple 
en  una  posición  i  si  y  solo  si:  (a)  q  se  cumple  en  dicha  posición,  o  (b)  q  se  cumple  en 
alguna  posición  anterior  j  y  p  se  cumple  en  las  posiciones  j  +  1 ,  j  +  2,  ...,  i. 

•  (tt,  i)  i=  pSwq  <->  (tt,  i)  t=  pSq  v  (tt,  i)  i=  Hp.  Sw  es  el  operador  temporal  de  pasado  weak 
slnce  (desde  débil).  pSq  garantiza  que  q  ocurre  en  el  pasado,  en  cambio  pSwq  establece 
que  p  se  cumple  desde  la  última  ocurrencia  de  q  o  desde  la  primera  posición. 
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Los  siguientes  son  ejemplos  de  fórmulas  con  operadores  de  pasado  que  suelen  utilizarse: 


•  -■Y  true.  Esta  fórmula  establece  que  se  está  en  la  primera  posición.  A  esta  propiedad  se  la 
suele  expresar  con  el  predicado  first  (por  primera  posición).  Por  ser  Yw  dual  de  Y,  first 
también  se  puede  expresar  con  Ywfalse. 

•  G(p  — »  Oq).  Esta  fórmula  establece  que  siempre  que  se  cumple  p,  en  el  pasado  o  en  el 
presente  también  se  cumple  q. 

•  GO  first.  Esta  fórmula  establece  que  una  posición  es  o  está  precedida  por  la  primera. 

Se  define  como  fórmula  de  futuro  a  una  fórmula  que  solo  tiene  operadores  de  futuro; 
expresa  una  propiedad  sobre  un  sufijo  o¡,  o¡+1,  ...  de  una  computación.  Por  su  parte,  una 
fórmula  de  pasado  solo  tiene  operadores  de  pasado,  que  expresa  una  propiedad  sobre  un 
prefijo  ct0,  ...,  o¡  de  una  computación.  Las  fórmulas  de  estado  se  consideran  tanto  de  futuro 
como  de  pasado.  Nos  quedan  por  definir  las  fórmulas  temporales  con  cuantificadores: 

•  (tt,  i)  i=  3x:p  <-»  (tt’,  i)  i=  p  para  alguna  computación  tt'  tal  que  los  estados  de  tt  y  tt’ 
difieren  a  lo  sumo  en  el  valor  de  la  variable  x. 

•  (tt,  i)  i=  Vx:p  <-»  (tt’,  i)  p  para  toda  computación  tt’  tal  que  los  estados  de  tt  y  tt’  difieren 
a  lo  sumo  en  el  valor  de  la  variable  x. 

Una  fórmula  temporal  p  es  válida  si  para  toda  computación  tt  se  cumple  (tt,  0)  t=  p,  o 
directamente  rr  t=  p.  Se  denota  con  i=  p.  En  particular,  considerando  un  determinado  programa 
P,  una  fórmula  temporal  p  es  P-válida  si  se  cumple  tt  i=  p  para  toda  computación  tt  de  n(P).  Se 
denota  con  P  i=  p.  En  lo  que  sigue  presentamos  una  lógica  temporal  para  probar,  mediante  una 
parte  general,  fórmulas  válidas,  y  mediante  una  parte  de  programa,  fórmulas  P-válidas.  La 
misma  constituye  un  método  de  verificación  de  propiedades  de  programas  SVT. 


Método  de  verificación 

Describimos  primero  la  parte  general  del  método,  que  provee  axiomas  y  reglas  para 
establecer  la  validez  de  fórmulas  temporales,  interpretadas  en  el  dominio  de  los  números  enteros, 
sobre  cualquier  computación,  sin  asociación  alguna  con  un  programa  determinado.  Tanto  en  ésta 
como  en  la  parte  de  programa,  las  fórmulas  con  símbolos  p,  q,  r,  ...,  deben  entenderse  como 
esquemas  de  fórmulas,  los  símbolos  representan  fórmulas  arbitrarias.  Por  ejemplo: 

G(Fp  «-» (p  v  XFp)) 

expresa  el  conjunto  infinito  de  fórmulas  obtenidas  reemplazando  p  por  cualquier  fórmula 
temporal.  Así,  haciendo  p  =  Fq,  queda: 
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G(FFq  «-*  (Fq  vXFFq)) 


Para  simplificar  la  notación,  en  lugar  de  G(p  — >  q)  y  G(p  <-»  q)  usamos  de  ahora  en  más  las 
abreviaciones  p  =>  q  y  p  «  q,  respectivamente. 

Parte  general  del  método 

Adoptamos  como  operadores  básicos  al  X,  Uw,  Yw  y  Sw.  En  algunos  casos,  para  simplificar 
la  notación,  utilizamos  otros  operadores  que  se  pueden  definir  a  partir  de  los  operadores 
básicos  de  la  siguiente  manera  (queda  como  ejercicio  para  el  lector  probar  las  igualdades): 

Gp  =  pllwfalse  Hp  =  pSwfalse 

Fp  -  -'G-'p  Op  -  -'Php 

pllq  =  pUwq  a  Fq  pSq  =  pSwq  a  Oq 

Yp  =  --Yw-p 


Los  siguientes  axiomas  se  conocen  como  axiomas  de  futuro : 

•  AFO.  Gp  — »  p 

•  AF1.X->p<=>->Xp 

•  AF2.  X(p  — >  q)  <=>  (Xp  — >  Xq) 

•  AF3.  G(p  -»  q)  =>  (Gp  — >  Gq) 

.  AF4.  Gp  -»  GXp 

•  AF5.  (p  =>  Xp)  -» (p  =>  Gp) 

•  AF6.  (pUwq)  <=>  (q  v  (p  a  X(pUwq))) 

•  AF7.  Gp  =>  pllwq 

La  validez  de  los  axiomas  precedentes  no  requiere  mayores  comentarios.  Notar  que  en  el 
axioma  AF3  se  establece  la  distribución  del  operador  G  con  respecto  a  la  implicación  solo  en 
un  sentido,  a  diferencia  del  operador  X  en  el  axioma  AF2.  El  axioma  AF5  es  una  suerte  de 
axioma  de  inducción.  Los  siguientes  son  los  axiomas  de  pasado  (en  algún  caso  se  utiliza  el 
operador  de  futuro  G): 

.  API .  Yp  =>  Ywp 
.  AP2.  Yw(p  ->  q)  (Ywp  -»  Ywq) 

•  AP3.  H(p  — >  q)  =>  (Hp  — >  Hq) 

.  AP4.  Gp  -»  GYwp 

.  AP5.  (p  =>  Ywp)  -» (p  =>  Hp) 

•  AP6.  (pSwq)  o(qv(pA  Yw(pSwq))) 

•  AP7.  Ywfalse 
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También  en  este  caso  es  sencillo  comprobar  la  validez  de  los  axiomas.  No  se  incluyen  las 
contrapartes  de  pasado  de  los  axiomas  AFO  y  AF7,  que  son  Hp  — >  p  y  Hp  =>  pSwq, 
respectivamente,  porque  se  pueden  probar  como  teoremas.  El  axioma  AP7  es  el  único  que  no 
se  corresponde  con  un  axioma  de  futuro.  En  los  axiomas  AP3  y  AP5  aplican  los  mismos 
comentarios  que  hicimos  de  sus  contrapartes  de  futuro.  Existen  además  dos  axiomas  mixtos : 

•  AMO.  p  =*  XYp 

•  AM 1 .  p  =>  YwXp 

También  se  cumple  la  recíproca  del  axioma  AMO,  es  decir  XYp  =>  p,  que  se  puede  probar 
como  teorema.  El  axioma  AM1  es  la  contraparte  de  pasado  del  axioma  AMO.  El  último  axioma 
a  presentar  es  el  axioma  de  las  tautologías  (TAU),  que  permite  incorporar  como  fórmulas 
válidas  a  todas  las  aserciones  verdaderas  del  lenguaje  Assn,  es  decir,  todas  las  fórmulas  de 
estado  válidas  (se  cumplen  en  cualquier  estado  de  cualquier  computación).  Así  que 
nuevamente,  tal  como  observamos  en  los  métodos  de  verificación  de  la  primera  parte  del 
capítulo,  el  presente  método  no  es  recursivo,  salvo  que  nos  restrinjamos  a  las  tautologías 
proposlcionales. 

Las  reglas  de  inferencia  del  método  son  las  siguientes: 

•  Regla  de  generalización  (GEN):  SI  p  es  una  fórmula  de  estado  válida,  entonces  Gp  es  una 
fórmula  válida. 

•  Regla  de  especializaron  (ESP):  Si  Gp  es  una  fórmula  válida,  siendo  p  una  fórmula  de 
estado,  entonces  p  es  una  fórmula  válida. 

•  Regla  de  instanciación  (INST):  Si  p  es  una  fórmula  válida,  entonces  p[q|a]  es  una  fórmula 
válida,  tal  que  q  es  un  símbolo  de  p,  a  es  una  fórmula,  y  p[q|a]  denota  la  sustitución  de  q 
por  a  en  la  fórmula  p.  No  confundir  esta  regla  con  la  regla  homónima  presentada  en  una 
sección  anterior. 

•  Regla  de  modus  ponens  (MP):  SI  p  — »  q  y  p  son  fórmulas  válidas,  entonces  q  es  una 
fórmula  válida. 

Queda  como  ejercicio  para  el  lector  probar  la  validez  de  los  axiomas  y  la  sensatez  de  las 
reglas.  Los  mismos  corresponden  al  fragmento  proposiclonal  del  lenguaje.  Se  prueba  que  esta 
parte  del  método  es  completa  para  probar  la  validez  de  cualquier  fórmula  temporal 
proposicional.  No  describimos  la  extensión  que  considera  los  elementos  de  primer  orden 
(variables,  igualdad,  cuantificación),  la  cual,  naturalmente,  no  preserva  la  completitud  porque 
seguimos  trabajando  con  el  dominio  de  los  números  enteros. 
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Ejemplo  de  aplicación  de  la  parte  general  del  método 

Probamos  la  fórmula  (Gr  a  Fs)  =>  (Fs  a  Gr): 

1  ■  (P  A  q)  — >  (q  a  p)  (TAU) 

2-  G((p  a  q)  ->  (q  a  p))  (1,  GEN) 

3.  (p  a  q)  =>  (q  a  p)  (Definición  de  =>) 

4.  (Gr  a  Fs)  ^  (Fs  a  Gr)  (3,  INST,  p  *-  Gr,  q  «-  Fs) 

Parte  de  programa  del  método 

Ya  hemos  indicado  que  expresar  una  especificación  como  una  lista  de  propiedades  facilita 
el  chequeo  de  que  sea  completa.  En  este  sentido  resulta  muy  útil  clasificar  las  propiedades,  al 
menos  las  de  uso  más  frecuente:  dada  una  especificación,  se  revisa  si  mínimamente  incluye 
propiedades  de  las  clases  más  relevantes  para  el  programa  considerado.  Así,  una  manera 
natural  de  presentar  la  parte  de  programa  del  método  de  verificación  es  describiendo  las  reglas 
de  prueba  de  cada  clase  de  propiedades. 

Una  clasificación  referida  previamente  corresponde  a  la  división  entre  propiedades  safety  y 
liveness.  Se  destaca:  (a)  las  clases  son  dlsjuntas;  (b)  toda  propiedad  se  puede  expresar  como 
la  conjunción  de  una  propiedad  safety  y  una  propiedad  liveness;  (c)  las  clases  incluyen  las 
propiedades  que  intuitivamente  se  asocian  a  ellas,  como  Gp  en  el  caso  de  las  propiedades 
safety,  y  Fq,  p  — ->  Fq,  GFq,  etc.,  en  el  caso  de  las  propiedades  liveness;  (d)  las  propiedades 
safety  se  prueban  en  base  a  un  principio  de  invariancla,  y  las  propiedades  liveness  recurriendo 
a  un  orden  bien  fundado;  (e)  toda  computación  en  la  que  se  viola  una  propiedad  safety 
contiene  un  prefijo  tal  que  todas  sus  extensiones  infinitas  también  la  violan,  mientras  que  toda 
secuencia  finita  de  estados  o0,  ...,  ok  puede  ser  extendida  a  una  computación  infinita  que 
satisface  una  propiedad  liveness.  Lamentablemente  no  existe  una  caracterización  sintáctica 
para  esta  clasificación,  existe  para  las  propiedades  safety  pero  solo  para  algunas  subclases  de 
propiedades  liveness. 

Para  describir  la  parte  de  programa  del  método  de  verificación  nos  basamos  en  otra 
clasificación,  que  sí  tiene  una  caracterización  sintáctica.  Se  conoce  como  clasificación  safety- 
progreso.  A  diferencia  de  la  clasificación  safety-liveness,  sus  clases  no  son  disjuntas.  Primero 
describimos  suscintamente  las  clases  de  propiedades  y  luego  las  reglas  del  método: 

•  Las  propiedades  safety  son  las  que  se  expresan  con  fórmulas  de  la  forma  Gp,  siendo  p  una 
fórmula  temporal  de  pasado.  Ejemplos  típicos  de  propiedades  safety  son  la  correctltud 
parcial,  la  exclusión  mutua  y  la  ausencia  de  deadlock.  La  clase  es  cerrada  con  respecto  a 
la  conjunción  y  la  disyunción. 

•  Las  propiedades  de  garantía  son  las  que  se  expresan  con  fórmulas  de  la  forma  Fp,  siendo 
p  una  fórmula  temporal  de  pasado.  Ejemplos  típicos  de  propiedades  de  garantía  son  la 
terminación  y  la  ocurrencia  de  un  objetivo  que  se  pretende  alcanzar.  La  clase  también  es 
cerrada  con  respecto  a  la  conjunción  y  la  disyunción. 


139 


•  Las  propiedades  de  intermitencia  u  obligación  son  las  que  se  expresan  con  fórmulas  de  la 
forma  Gp  v  Fq,  siendo  p  y  q  fórmulas  temporales  de  pasado.  Una  forma  equivalente  muy 
utilizada  es  Fp  — >  Fq.  La  clase  es  cerrada  con  respecto  a  la  disyunción  pero  no  lo  es  con 
respecto  a  la  conjunción,  e  incluye  de  manera  estricta  a  las  clases  de  propiedades  safety  y 
de  garantía.  También  se  define  la  clase  de  propiedades  de  intermitencia  múltiple  u 
obligación  general,  con  fórmulas  de  la  forma  A¡=i,k(Gp¡  v  Fq¡),  más  amplia  que  la  anterior. 

•  Las  propiedades  de  recurrencia  son  las  que  se  expresan  con  fórmulas  de  la  forma  GFp, 
siendo  p  una  fórmula  temporal  de  pasado.  Una  forma  alternativa  de  uso  frecuente  es  G(p 
— >  Fq),  equivalente  a  GF(_ipSwq),  y  a  la  propiedad  asociada  se  la  identifica  como  propiedad 
de  respuesta.  Un  ejemplo  típico  de  propiedad  de  recurrencia  es  la  ausencia  de  inanición. 
La  clase  es  cerrada  con  respecto  a  la  conjunción  y  la  disyunción.  Las  fórmulas  de 
recurrencia  pueden  especificar  todas  las  propiedades  safety,  porque  Gp  es  equivalente  a 
GFHp,  y  todas  las  fórmulas  de  garantía,  porque  Fp  es  equivalente  a  GFOp.  También 
pueden  expresar  requerimientos  de  fairness  débil.  Si  hab(T)  y  eje(T)  son  dos  predicados 
que  establecen  que  la  transición  t  está  habilitada  o  es  ejecutada,  respectivamente,  la 
fórmula  correspondiente  es:  G  hab(T)  =>  F  eje(T),  o  equivalentemente:  GF(_,hab(T)  v  eje(T)). 
La  clase  Incluye  de  manera  estricta  a  la  de  las  propiedades  de  intermitencia  múltiple. 

•  Las  propiedades  de  persistencia  son  las  que  se  expresan  con  fórmulas  de  la  forma  FGp, 
siendo  p  una  fórmula  temporal  de  pasado.  Usualmente  estas  fórmulas  se  utilizan  para 
describir  la  eventual  estabilización  de  un  estado.  Al  Igual  que  las  fórmulas  de  recurrencia, 
las  fórmulas  de  persistencia  pueden  especificar  todas  las  propiedades  safety  porque  Gp  es 
equivalente  a  FGHp,  y  todas  las  fórmulas  de  garantía  porque  Fp  es  equivalente  a  FGOp. 
La  clase  es  cerrada  con  respecto  a  la  conjunción  y  la  disyunción,  y  también  incluye  de 
manera  estricta  a  la  clase  de  las  propiedades  de  intermitencia  múltiple. 

•  Finalmente  llegamos  a  la  clase  de  las  propiedades  de  progreso,  que  se  expresan  con 
fórmulas  de  la  forma  GFp  v  FGq,  siendo  p  y  q  fórmulas  temporales  de  pasado,  y  por  lo 
tanto  generalizan  las  propiedades  de  recurrencia  y  persistencia.  Una  forma  alternativa  de 
las  fórmulas  de  progreso  es  GFp  =>  GFq,  por  lo  que  son  útiles  para  expresar 
requerimientos  de  fairness  fuerte,  como  GF  hab(T)  =>  GF  eje(T).  La  clase  es  cerrada  con 
respecto  a  la  disyunción  pero  no  con  respecto  a  la  conjunción.  De  este  modo,  las 
conjunciones  de  fórmulas  de  progreso,  es  decir  A¡=i,n  (GFp¡  v  FGq¡),  conocidas  como 
fórmulas  de  progreso  múltiple,  constituyen  la  clase  más  amplia  de  la  clasificación,  que 
incluye  a  todas  las  demás.  Más  aún,  se  prueba  que  toda  fórmula  temporal  sin 
cuantificadores  es  equivalente  a  una  fórmula  de  esta  clase  (incluso  se  pueden  considerar 
algunos  casos  especiales  de  fórmulas  con  cuantificadores). 

No  vamos  a  definir  un  conjunto  de  reglas  de  prueba  para  cada  clase  de  propiedades,  sino 
que  nos  concentraremos  en  tres  casos  en  particular  que  reúnen  las  propiedades  habltualmente 
más  interesantes:  las  propiedades  safety,  de  recurrencia  y  de  progreso.  Por  lo  visto  recién, 
considerando  reglas  para  probar  las  propiedades  de  progreso  cubrimos  el  espectro  completo 
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de  la  lógica  temporal  sin  cuantificadores.  Existen  reglas  (relativamente)  completas  para  cada 
clase.  A  continuación  describimos  algunas  de  ellas.  Se  basan  en  la  aproximación  global, 
requieren  programas  completos  para  establecer  sus  propiedades.  Existen  reglas  alternativas 
que  permiten  construir  pruebas  de  una  manera  composicional.  Comenzamos  con  una  regla 
para  probar  propiedades  safety  de  un  programa: 

Regla  SAFE  1 .  (0  a  first)  — >  p 

2-  P  =>  q 

3- {p}T{p} 

Gq 

En  ésta  y  las  siguientes  reglas,  T  es  el  conjunto  de  transiciones,  y  {p}  T  {q}  expresa  que 
todas  las  transiciones  t  de  T  cumplen  la  condición  de  verificación  {p}  t  {q}.  Antes  definimos  esta 
condición  con  la  implicación  (p  a  p)  — >  q’,  siendo  p  y  q  fórmulas  de  estado.  Por  tratar  ahora  con 
fórmulas  temporales,  usaremos  (p  a  p)  =>  q’,  ya  que  se  requiere  que  la  Implicación  se  cumpla 
en  todas  las  posiciones  de  una  computación.  La  regla  SAFE  utiliza  una  fórmula  auxiliar  p,  que 
por  la  premisa  1  se  cumple  iniclalmente,  y  por  la  premisa  3  se  propaga  a  lo  largo  de  todo  el 
programa.  Por  lo  tanto  p  es  un  invariante.  Como  por  la  premisa  2  siempre  p  implica  q,  entonces 
q  también  es  un  invariante  del  programa.  De  las  reglas  para  probar  propiedades  de  recurrencia 
presentamos  tres,  sin  y  con  asunción  de  fairness: 

Regla  REC  1 .  p  =>  (q  v  r) 

2. {r}T{q} 

3.  r  =>  hab(T) 

P  =>  Fq 

El  predicado  hab(T)  establece  que  todas  las  transiciones  de  T  están  habilitadas.  Claramente  si 
se  cumplen  las  premisas,  luego  de  a  lo  sumo  una  transición  se  obtiene  la  conclusión.  La 
segunda  regla  contempla  fairness  débil: 

Regla  W-REC  1 .  p  =>  (q  v  r) 

2-{r}Ti  {q} 

3. {r}T2{qvr} 

4.  r  =>  habCD) 

P  =>  Fq 

Ti  y  T2  constituyen  una  partición  de  T,  y  T!  es  una  familia  de  requerimientos  de  fairness 
débil.  SI  a  partir  de  que  se  cumple  p  nunca  se  cumple  q,  entonces  r  se  cumple  continuamente  y 
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no  se  ejecuta  ninguna  transición  de  TV  Pero  esto  no  puede  ocurrir  por  la  premisa  4  y  la 
asunción  de  fairness  débil.  La  tercera  regla  difiere  de  la  anterior  solo  en  su  premisa  4,  ahora 
contempla  fairness  fuerte: 

Regla  S-REC  1.  p  =>  (q  v  r) 

2.  {r}  T!  {q} 

3. {r}T2{qvr} 

4.  r  =>  F(q  v  hab(T-i)) 

P  =>  Fq 

T-i  y  T2  constituyen  una  partición  de  T,  y  Tt  es  una  familia  de  requerimientos  de  fairness 
fuerte.  En  este  caso  no  puede  suceder  que  a  partir  de  p  nunca  se  cumpla  q,  por  la  premisa  4  y 
la  asunción  de  fairness  fuerte.  Mostramos  por  último  una  regla  para  probar  propiedades  de 
progreso.  De  las  formas  alternativas  para  expresar  estas  propiedades  consideramos  la  fórmula 
GFr  =>  Fq,  pero  extendida  de  la  siguiente  manera:  (p  a  GFr)  =>  Fq.  Esta  fórmula  establece  que 
toda  ocurrencia  de  p,  seguida  por  infinitas  ocurrencias  de  r,  debe  ser  seguida  por  q.  La  regla 
contempla  fairness  fuerte: 

Regla  S-PROG  1.  p  =>  (q  v  s) 

2- {s} Ti  {q} 

3.  {s}  T2  {q  v  s} 

4.  (s  a  GF(s  a  r))  ^  F(q  v  hab(T.,)) 


p  a  GFr  =>  Fq 

Ti  y  T2  constituyen  una  partición  de  T,  y  Tt  es  una  familia  de  requerimientos  de  fairness 
fuerte.  La  justificación  de  la  sensatez  de  esta  regla  es  similar  a  la  de  la  regla  anterior  (se  Invita 
al  lector  a  probarla,  al  Igual  que  la  sensatez  de  las  reglas  anteriores  de  esta  parte  del  método). 

Ejemplo  de  aplicación  de  la  parte  de  programa  del  método 

Vamos  a  verificar  una  propiedad  safety  en  un  programa  muy  sencillo,  representado  por  el 
siguiente  diagrama  de  transiciones: 


fz\  tiue->x:=x+l^| 


J 
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El  programa  P  tiene  un  solo  proceso,  que  transición  tras  transición  incrementa  el  valor  de  la 
variable  x  en  1.  La  condición  inicial  es  0  -  (x  =  0  a  c  -  a0).  Probaremos  que  en  la  única 
computación  de  P  se  cumple: 


G(x  =  10  -»  0(x  =  5)) 

Recurrimos  a  la  regla  SAFE,  así  que  debemos  probar  las  premisas:  (1)  (0  a  first)  ->  p,  (2)  p 
=>  q,  y  (3)  {p}  T  {p},  para  llegar  a  la  conclusión  Gq,  siendo  entonces  q  en  este  caso:  x  =  10  ->• 
0(x  =  5).  Como  invariante  p  proponemos:  x  >  5  0(x  =  5).  De  esta  manera,  tenemos  que 

demostrar: 

1 .  (x  —  0  a  c  —  a0  a  first)  — » (x  >  5  0(x  =  5)) 

2.  (x  >  5  0(x  =  5))  =>  (x  =  10  ->  0(x  =  5)) 

3.  {x  >  5  -»  0(x  =  5)}  x  :=  x  +  1  {x  >  5  0(x  =  5)} 

Prueba  de  (1): 

Por  el  axioma  TAU  se  obtiene  (x  =  0  a  r  a  s)  -»  (x  >  5  t).  La  prueba  se  completa  aplicando 

la  regla  INST  con  las  sustituciones  correspondientes. 

Prueba  de  (2): 

Por  el  axioma  TAU  se  obtiene  (x  >  5  -» r)  — »  (x  =  10  -»  r).  La  prueba  se  completa  aplicando 
primero  la  regla  GEN,  y  luego  la  regla  INST  con  las  sustituciones  correspondientes. 

Prueba  de  (3): 

La  condición  de  verificación  es  la  siguiente: 

(x'  =  x+1a(x>5->  0(x  =  5)))  =>  (x  >  5  ->■  0(x  =  5))’ 

Podemos  reemplazar  (x  >  5  0(x  =  5))’  por  (x1  >  5  ^  (x1  =  5  v  0(x  =  5)).  Así,  por  el  axioma 

TAU  se  obtiene  (x’  -  x  +  1  a  (x  >  5  ->  r))  ->  (x’  >  5  ->  (x’  -  5  v  r)),  y  la  prueba  se  completa 
aplicando  la  regla  GEN  y  la  regla  INST  con  las  sustituciones  correspondientes. 


Ejercicios 

Programas  secuenciales  determinísticos 

1.  Completar  la  definición  de  las  funciones  semánticas  V,  W  y  T,  de  modo  tal  que  sean 
funciones  totales.  Ayuda:  deben  considerar  el  estado  indefinido  ly  el  estado  de  falla  f. 
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2.  La  semántica  de  las  expresiones  enteras  y  booleanas  del  lenguaje  PLW  se  definió 
denotacionalmente  (funciones  semánticas  V  y  W).  Plantear  una  semántica  operacional 
para  las  mismas. 

3.  Desarrollar  las  distintas  formas  que  pueden  adoptar  las  computaciones  de  los  programas 
PLW,  a  partir  de  la  semántica  operacional  definida. 

4.  Probar  que  la  correctltud  total  de  un  programa  S  de  PLW  con  respecto  a  una  especificación 
(p,  q),  es  decir  (p)  S  (q),  se  puede  expresar  con  la  conjunción  {p}  S  {q}  a  <p)  S  (true). 

5.  Probar  {x  >  0  a  y  >  0}  Sdiv  {x  =  y  ■  c  +  r  a  r  <  y  a  r  >  0},  es  decir  la  correctltud  parcial  en 
términos  del  programa  de  división  entera  y  la  especificación  planteados  antes,  salvo  que 
ahora  el  divisor  y  puede  ser  0. 

6.  Completar  la  prueba  de  terminación  del  programa  de  división  entera  Sd¡v. 

7.  Completar  la  prueba  de  sensatez  del  método  H. 

8.  Probar  que  el  método  H  sigue  siendo  sensato  cuando  se  le  incluyen  el  axioma  INV  y  las 
reglas  AND,  ORe  INST. 

9.  Completar  la  prueba  de  completitud  del  método  H. 

Programas  secuenciales  no  determinísticos 

10.  Completar  la  sintaxis  y  la  semántica  del  lenguaje  GCL  agregándole  variables  booleanas. 

1 1 .  Probar  el  lema  de  Kónig. 

12.  Probar  que  la  correctitud  total  de  un  programa  S  de  GCL  con  respecto  a  una  especificación 
(p,  q),  es  decir  (p)  S  (q),  se  puede  expresar  con  la  conjunción  {p}  S  {q}  a  <p)  S  (true). 

13.  Probar  la  correctitud  parcial  del  programa  del  máximo  común  divisor  Smcd  con  respecto  a  la 
especificación  (x  =  X  a  y  -  Y  A  X  >  0  a  Y  >0,  x  =  mcd(X,  Y)). 

14.  Probar  la  correctitud  total  del  programa  Smcd  con  respecto  a  la  misma  especificación 
planteada  en  el  ejercicio  anterior. 

15.  Desarrollar  las  pruebas  de  sensatez  y  completitud  de  los  métodos  D  y  D*. 

16.  Probar  que  si  existe  fairness  fuerte  entonces  también  existe  fairness  débil. 

17.  Probar  que  asumiendo  fairness  sigue  valiendo  que  (p)  S  (q)  se  puede  expresar  con  la 
conjunción  {p}  S  {q}  a  (p)  S  (true). 

18.  Formalizar  el  método  D*  asumiendo  fairness  débil  a  partir  de  los  conceptos  planteados 
previamente,  y  probar  su  sensatez. 

Programas  concurrentes 

19.  Probar  que  la  correctitud  total  de  un  programa  S  de  SVL  con  respecto  a  una  especificación 
(p,  q),  es  decir  (p)  S  (q),  se  puede  expresar  con  la  conjunción  {p}  S  {q}  a  (p)  S  (true). 
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20.  Completar  la  definición  inductiva  de  una  proof  outline. 

21 .  Completar  la  prueba  de  {x  =  0}  x  :=  x  +  1  ||  x  :=  x  +  2  {x  =  3}. 

22.  Comprobar  la  Incorrección  de  las  proof  outlines  propuestas  para  la  prueba  de  {x  =  0}  x  :=  x 
+  1  ||x:=x+  1  {x  =  2}. 

23.  Completar  la  prueba  de  {x  =  0}  x  :=  x  +  1  ||  x  :=  x  +  1  {x  =  2}  utilizando  variables  auxiliares. 

24.  Completar  la  prueba  de  (x  >  0  a  par(x))  whlle  x  >  2  do  x  :=  x  -  2  od  ||  x  :=  x  -  1  (x  =  1). 

25.  Probar  la  correctltud  parcial,  la  ausencia  de  dealock  y  la  terminación  del  programa  Scfac  de 
SVL  que  calcula  el  factorial  de  N  >  1 .  Ayuda:  podría  considerarse  como  invariante  de  Si  la 

aserción  p1  -  (i  <j)  a  (~‘c1  —>i+1  =  j)  a  (n  .  (i+1) . (j  -  1)  =  Ni),  y  de  S2  la  aserción  p2 

que  es  la  misma  que  p1  pero  con  c2  en  lugar  de  Ci . 

26.  Extender  el  método  O*  para  que  también  permita  probar  exclusión  mutua  y  ausencia  de 
inanición.  Ayuda:  basarse,  respectivamente,  en  las  pruebas  de  ausencia  de  deadlock  y 
terminación. 

27.  Desarrollar  las  pruebas  de  sensatez  de  los  métodos  O  y  O*. 


Programas  reactivos 

28.  Probar  las  igualdades:  (a)  Gp  =  pllwfalse,  (b)  Hp  =  pSwfalse,  (c)  Fp  =  -,G-,p,  (d)  Op  =  -’hhp, 
(e)  pUq  =  pUwq  a  Fq,  (f)  pSq  =  pSwq  a  Oq,  y  (g)  Yp  =  ~'Yw-'p. 

29.  Probar  la  sensatez  de  la  parte  general  del  método  de  verificación  presentado. 

30.  Probar  la  fórmula  (Gr  a  Fs)  — »  Fs. 

31 .  Probar  que  de  las  premisas  p  =>  q  y  q  =>  r,  se  deduce  la  conclusión  p  =>  r. 

32.  Probar  la  sensatez  de  las  reglas  descrlptas  en  la  parte  de  programa  del  método  de 
verificación  presentado. 

33.  Probar  que  la  clase  de  las  propiedades  safety  es  cerrada  con  respecto  a  la  conjunción  y  la 
disyunción.  Ayuda:  probar  que  Gp  a  Gq  es  equivalente  a  G(p  a  q),  y  que  Gp  v  Gq  es 
equivalente  a  G(Hp  vHq). 

34.  Probar  que  la  clase  de  las  propiedades  de  garantía  es  cerrada  con  respecto  a  la  conjunción 
y  la  disyunción.  Ayuda:  probar  que  Fp  a  Fq  es  equivalente  a  F(Op  a  Oq),  y  que  Fp  v  Fq  es 
equivalente  a  F(p  vq). 
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35.  Probar  que  la  clase  de  las  propiedades  de  intermitencia  u  obligación  es  cerrada  con 
respecto  a  la  disyunción.  Ayuda:  probar  que  ( Gp 1  v  Fq-,)  v  (Gp2  v  Fq2)  es  equivalente  a 
(Gp1  v  Gp2)  v  (Fq-i  v  Fq2). 

36.  Probar  que  la  clase  de  las  propiedades  de  recurrencia  es  cerrada  con  respecto  a  la 
conjunción  y  la  disyunción.  Ayuda:  probar  que  GFp  a  GFq  es  equivalente  a  GF(q  a  Y^q  S 
p)),  y  que  GFp  v  GFq  es  equivalente  a  GF(p  vq). 

37.  Probar  que  la  clase  de  las  propiedades  de  persistencia  es  cerrada  con  respecto  a  la 
conjunción  y  la  disyunción.  Ayuda:  probar  que  FGp  a  FGq  es  equivalente  a  FG(p  a  q),  y 
que  FGp  vFGq  es  equivalente  a  FG(q  v  Y(p  S  (p  a  -q)))- 

38.  Probar  que  la  clase  de  las  propiedades  de  progreso  es  cerrada  con  respecto  a  la 
disyunción.  Ayuda:  probar  que  (GFp-,  v  FGq ^  v  (GFp2  v  FGq2)  es  equivalente  a  (GFp-,  v 
GFp 2)  v  (FGq ,  v  FGq 2). 


Referencias  y  notas 

Además  de  las  notas  en  forma  de  apartados,  con  sus  respectivas  referencias  bibliográficas, 
que  exhibimos  a  continuación,  remitimos  al  lector  a  la  lectura  de  las  notas,  referencias 
bibliográficas  y  numerosos  ejercicios  de  (Rosenfeld  &  Irazábal,  2013)  y  (Rosenfeld  &  Irazábal, 
2010)  que  se  refieren  a  la  verificación  de  programas,  material  que  constituye  la  bibliografía  de 
cabecera  de  las  materias  Teoría  de  la  Computación  y  Verificación  de  Programas  y  Teoría  de  la 
Computación  y  Verificación  de  Programas  Avanzada,  respectivamente.  Ambos  libros  a  su  vez 
están  basados  esencialmente  y  de  manera  parcial  en  los  contenidos  de  (Francez,  1992),  (Apt, 
1981),  (Apt  &  Olderog,  1997),  (de  Bakker,  1980),  (Manna  &  Pnueli,  1989),  (Manna  &  Pnueli, 
1992),  (Manna  &  Pnueli,  1995)  y  (Hute  &  Ryan,  2004).  Recomendamos  también  su  lectura. 

Particularmente  en  (Rosenfeld  &  Irazábal,  2013)  se  tratan  los  métodos  de  verificación  de  los 
programas  secuenclales,  las  pruebas  de  su  sensatez  y  completltud,  distintos  tipos  de  sensatez 
y  completitud  (en  lo  que  sigue  dedicamos  un  apartado  sobre  esto),  la  verificación  de  programas 
utilizando  arreglos  y  procedimientos,  y  el  desarrollo  sistemático  de  programas  tomando  como 
base  los  métodos  axiomáticos. 

Por  su  parte  en  (Rosenfeld  &  Irazábal,  2010)  se  estudian  los  métodos  de  verificación  de  los 
programas  no  determinístlcos  con  los  paradigmas  control  driven  y  data  driven,  la  verificación  de 
los  programas  concurrentes  con  los  modelos  de  memoria  compartida  y  pasaje  de  mensajes,  la 
verificación  de  programas  con  fairness  fuerte  y  débil,  una  introducción  a  la  semántica 
denotacional  considerando  el  lenguaje  PLW,  y  la  verificación  de  programas  reactivos  usando 
lógica  temporal,  tanto  lineal  como  ramificada,  incluyendo  una  breve  referencia  a  la  verificación 
automática  cuando  la  lógica  es  proposicional  (hay  también  a  continuación  un  apartado  acerca 
de  estos  últimos  tópicos). 
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Incompletitud 


A  lo  largo  del  capítulo  se  ha  establecido  que  la  completltud  de  los  distintos  métodos  de 
verificación  estudiados,  considerando  la  interpretación  de  los  números  enteros,  no  puede  ser 
absoluta  debido  a  la  inexistencia  de  un  método  axiomático  para  demostrar  todos  los 
enunciados  verdaderos  de  los  enteros,  lo  que  fue  probado  por  K.  Gódel  en  su  famoso  teorema 
de  Incompletitud,  mencionado  previamente.  (La  formulación  general  de)  este  teorema 
establece  que  todo  método  axiomático  recursivo  y  consistente,  con  suficiente  aritmética,  tiene 
algún  enunciado  indecldible.  Un  método  recursivo  tiene  un  conjunto  recursivo  de  axiomas,  la 
única  manera  para  que  una  demostración  pueda  corroborarse  o  refutarse  mecánicamente  (en 
los  métodos  de  verificación  de  programas  estudiados,  justamente  completos  relativamente,  se 
incorporan  como  axiomas  todas  los  enunciados  verdaderos  de  los  enteros,  que  constituyen  un 
conjunto  ni  siquiera  recursivamente  numerable).  En  un  método  consistente  no  se  puede  probar 
un  enunciado  cp  y  su  negación  _icp  (si  no  sería  un  método  inútil,  permitiría  probar  cualquier 
enunciado).  Suficiente  aritmética  alude  a  que  a  partir  de  los  axiomas  pueden  demostrarse 
todos  los  enunciados  de  la  aritmética  finitista,  es  decir  los  enunciados  cuya  verdad  o  falsedad 
puede  determinarse  en  una  cantidad  finita  de  pasos.  Finalmente,  un  método  tiene  algún 
enunciado  indecidible  cp  si  en  él  no  puede  demostrarse  ni  cp  ni  su  negación  “■cp  (por  lo  tanto 
contiene  un  enunciado  verdadero  no  demostrable  en  el  método). 

Gódel  probaba  así,  en  1931,  la  imposibilidad  de  llevar  a  cabo  el  programa  de  D.  Hilbert,  con 
el  que  se  pretendía  formalizar  completamente  la  matemática  clásica  reemplazando  sus 
conceptos  por  cadenas  de  símbolos  y  el  razonamiento  por  mera  manipulación  de  dichas 
cadenas  considerando  reglas  mecánicas.  El  teorema  se  formuló  iniclalmente  con  el 
requerimiento  de  oo-consistencia,  condición  más  fuerte  que  la  consistencia,  pero 
posteriormente,  en  base  a  un  desarrollo  más  complejo,  se  logró  reducir  la  exigencia  a  la  simple 
consistencia.  La  demostración  del  teorema  se  puede  encontrar  por  ejemplo  en  (Hamilton, 
1981),  (Mosterín,  1981)  y  (Martínez  &  Piñeiro,  2009).  Una  idea  general  de  la  prueba  es  la 
siguiente.  Se  construye  un  enunciado  G  de  un  método  axiomático  P  (básicamente  la  unión  de 
la  lógica  de  Principia  Mathematica  con  la  axiomática  de  Peano),  tal  que  ni  G  ni  -,G  pueden  ser 
teoremas  de  P,  porque  de  lo  contrario  se  llega  a  una  contradicción.  Para  construir  G  se  emplea 
un  ingenioso  procedimiento  que  codifica  la  metateoría  de  P,  conocido  como  gódelización,  que 
asigna  biunívocamente  números  naturales  ( números  de  Gódel)  a  los  símbolos,  las  fórmulas  y 
las  sucesiones  de  fórmulas.  De  esta  manera  se  logra  transformar  enunciados  acerca  de  P  en 
enunciados  acerca  de  los  números,  y  así  expresarlos  dentro  del  método.  Los  nuevos 
enunciados  dan  lugar  a  relaciones  aritméticas  recursivas,  que  se  prueban  expresables  en  P.  En 
otras  palabras,  se  logra  expresar  en  el  lenguaje  de  la  aritmética,  utilizando  solo  las  operaciones 
de  suma  y  multiplicación,  propiedades  de  los  enunciados  como  relaciones  entre  números.  Un 
ejemplo  es  la  relación  aritmética  Dem(m,  n),  que  se  cumple  si  y  solo  si  m  es  el  número  de 
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Gódel  de  una  sucesión  de  fórmulas  que  conforma  una  demostración  de  una  fórmula  cuyo 
número  de  Gódel  es  n.  Mediante  construcciones  como  ésta  se  alcanza  de  una  manera 
bastante  simple  el  enunciado  G,  interpretado  de  la  siguiente  manera:  para  todo  número  natural 
n,  n  no  es  el  número  de  Gódel  de  una  demostración  en  P  de  G.  Así,  G  dice  de  sí  mismo  que  no 
es  demostrable  (hay  una  analogía  con  la  paradoja  del  mentiroso).  Por  último,  asumiendo  tanto 
que  G  es  un  teorema  como  que  _,G  es  un  teorema,  se  llega  a  una  contradicción. 

Es  interesante  destacar  que  la  argumentación  de  Gódel  puede  desarrollarse  a  partir  de  un 
único  hecho  matemático,  la  existencia  en  la  aritmética  de  una  operación  de  concatenación.  Y 
que  añadiendo  G  como  axioma  no  se  soluciona  la  incompletitud,  sino  que  se  mantiene  el 
problema  ahora  con  otro  enunciado  indecidible.  Más  en  general,  se  formula  que  cualquier 
extensión  recursiva  sigue  siendo  incompleta.  Otras  axiomáticas  incompletas  son  la  aritmética 
de  segundo  orden  y  la  teoría  de  conjuntos  de  Zermeio-Fraenkei.  Un  ejemplo  de  una  axiomática 
completa  es  la  aritmética  aditiva  o  de  Presburger ,  que  no  tiene  la  operación  de  multiplicación. 
Otro  caso  en  este  último  sentido  es  la  teoría  de  primer  orden  de  los  números  complejos.  La 
teoría  es  completa  a  pesar  de  que  los  números  naturales  son  un  subconjunto  de  los  complejos, 
lo  que  no  es  contradictorio  porque  con  enunciados  de  primer  orden  no  puede  definirse  en  el 
método  la  propiedad  “ser  natural”,  es  decir  que  los  números  naturales  “están”  pero  no  pueden 
identificarse. 


Incompletitud  e  indecidibilidad 

La  demostración  del  teorema  de  incompletitud  de  Gódel  fue  puramente  lógica,  no  consideró 
la  noción  de  computabilidad  que  recién  llegó  en  1936  fundamentalmente  con  A.  Church  y  A. 
Turing.  Así  no  se  percibió  a  simple  vista  el  problema  general  de  la  indecidibilidad  en  las  lógicas. 
La  indecibilidad  es  una  razón  más  profunda,  de  la  que  se  infiere  la  incompletitud  como  puede 
verse  en  lo  que  sigue.  SI  M  es  una  máquina  de  Turing  (Turing,  1936)  que  acepta  la  cadena 
vacía  A,  lo  hace  mediante  una  computación  con  configuraciones  de  no  más  de  m  símbolos.  Sea 
i  un  número  natural  codificado  en  notación  binarla  que  representa  una  computación  de  M  con 
configuraciones  de  longitud  m.  Se  sabe  que  el  enunciado  que  establece  que  M  acepta  A  es 
indecidible.  Dicho  enunciado  se  puede  expresar  con  la  fórmula  3i  3m  Em(i),  siendo  Em  un 
predicado  verdadero  si  y  solo  si  I  es  el  código  de  una  computación  que  acepta  A  con 
configuraciones  de  no  más  de  m  símbolos.  De  esta  manera,  por  propiedad  de  las  reducciones 
de  problemas,  la  indecibilidad  del  problema  referido  en  términos  de  máquinas  de  Turing  Implica 
la  Indecidibilidad  en  la  aritmética,  no  hay  algoritmo  posible  para  decidir  todos  sus  enunciados 
verdaderos.  Notar  en  particular  que  la  completltud  en  la  aritmética  implica  su  decldibilidad: 
dado  un  enunciado  cualquiera  cp,  se  ejecutan  en  paralelo  dos  máquinas  de  Turing  Mí  y  M2, 
guiadas  por  los  axiomas  y  reglas  de  inferencia,  con  el  propósito  de  demostrar  cp  y  “■cp, 
respectivamente,  aceptándose  si  M-i  acepta,  y  rechazándose  si  M2  acepta. 
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Entre  las  lógicas  de  primer  orden,  una  si  no  la  más  estudiada  es  el  cálculo  funcional  puro, 
identificado  comúnmente  con  F0.  La  importancia  de  F0  proviene  del  resultado  que  establece 
que  si  es  decldible,  también  lo  es  cualquier  otra  lógica  de  primer  orden.  El  problema  de  la 
decidibilidad  en  F0,  denominado  oportunamente  Entscheidungsproblem,  fue  declarado  por 
Hllbert  como  el  problema  central  de  la  lógica  matemática.  Se  buscó  intensamente  una  solución 
positiva,  y  algunos  resultados  preliminares  alimentaron  la  creencia  errónea  de  que  el  problema 
era  decldible  (por  ejemplo  Gódel  había  demostrado  en  1929  que  todas  las  fórmulas  válidas  son 
demostrables).  Pero  en  1936  Church  y  Turing  demostraron  lo  contrario,  en  forma 
independiente,  lo  que  constituyó  otro  golpe  (el  primero  fue  el  de  Gódel  en  1931  con  su  teorema 
de  incompletltud)  para  el  programa  de  Hllbert.  Church  utilizó  la  técnica  del  Á-cálculo  y  Turing  las 
máquinas  que  llevan  su  nombre.  (El  lector  interesado  se  puede  remitir  a  (Rosenfeld  &  Irazábal, 
2013)  para  encontrar  una  demostración,  desarrollada  por  Church,  de  la  indecibilidad  de  la 
lógica  de  primer  orden,  mediante  una  reducción  de  problemas  a  partir  de  un  problema  clásico 
de  la  computabilidad.) 


Incompletitud  y  aleatoriedad 

G.  Chaitin  también  encara  la  incompletltud  por  el  lado  de  la  algorítmica  para  deducir  los 
límites  del  razonamiento  formal  (Chaitin,  2015).  Lo  hace  ya  no  desde  la  indecidibilidad  sino 
desde  la  aleatoriedad,  en  el  marco  de  la  teoría  algorítmica  de  la  información,  la  cual  trata  la 
complejidad  computaclonal  de  una  manera  alternativa.  Se  centra  en  que  el  tamaño  de  una 
teoría  es  el  del  conjunto  de  los  axiomas  que  la  definen,  o  lo  que  es  lo  mismo,  del  programa  o 
máquina  de  Turing  que  la  genera.  Establece  que  “comprensión  es  compresión”.  A  través  de  un 
camino  alternativo  al  de  Gódel,  Church  y  Turing,  llega  a  la  conclusión  de  que  no  puede  existir 
una  teoría  de  toda  la  matemática,  la  matemática  tiene  una  complejidad  infinita,  no  es 
completamente  compresible.  Más  aún,  suponiendo  que  se  pudiera  definir  una  axiomática 
completa,  Igual  no  se  lograría  demostrar  que  es  la  más  concisa  de  todas.  SI  un  programa  P  es 
más  grande  que  un  programa  Q  que  simula  un  método  axiomático,  entonces  con  Q  no  se 
puede  demostrar  que  P  es  elegante,  es  decir  que  es  el  programa  más  chico  entre  todos  los 
programas  que  hacen  lo  mismo. 

El  caso  particular  que  presenta  Chaitin  es  su  famosa  constante  Q,  definida  como  la 
probabilidad  de  que  una  máquina  de  Turing  elegida  al  azar  termine.  La  parte  decimal  de  la 
constante  se  demuestra  aleatoria,  en  el  sentido  de  que  es  irreducible,  algorítmicamente 
incompresible.  Q  es  un  número  perfectamente  definido,  la  sumatorla  £peP  2"|p|,  siendo  P  el 
conjunto  de  todas  las  máquinas  que  paran,  y  |p|  el  tamaño  de  p.  Q  no  puede  ser  calculado, 
porque  si  lo  fuera  el  halting  problem  sería  decldible.  De  esta  manera,  demuestra  que  un 
método  axiomático  solo  puede  determinar  tanta  información  de  Q  como  la  que  permite  su 
propia  complejidad,  no  más,  por  lo  que  la  única  manera  de  especificar  más  información  de  Q 
consiste  en  introducir  dicha  información  directamente  en  los  axiomas.  La  matemática  porta 
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información  irreducible,  hay  incompletitud,  el  mundo  de  la  verdad  matemática  tiene  una 
complejidad  infinita,  mientras  que  todo  método  axiomático  tiene  complejidad  finita. 


Sensatez,  completitud  e  interpretaciones 

Solo  a  los  efectos  de  simplificar  la  presentación  de  los  métodos  de  verificación  de 
programas  es  que  hemos  tratado  en  todos  los  casos  únicamente  con  la  interpretación  de  los 
números  enteros,  en  realidad  la  interpretación  estándar  de  los  números  enteros,  habltualmente 
denotada  con  l0.  Naturalmente,  lo  deseable  es  que  los  métodos  tengan  el  mayor  alcance 
posible.  Notar  de  todos  modos  que  las  pruebas  de  sensatez  de  los  métodos  de  verificación  de 
correctltud  parcial  que  hemos  desarrollado  no  dependen  de  la  interpretación  considerada. 
Efectivamente,  los  métodos  tienen  sensatez  total,  son  sensatos  para  todas  las  interpretaciones 
(en  el  caso  del  método  O  para  los  programas  concurrentes,  que  utiliza  proof  outlines,  también 
se  habla  de  sensatez  fuerte).  Por  ejemplo,  la  fórmula  de  correctltud  parcial  {x  >  0  a  y  >  0}  Sdiv  {x 
=  y.c  +  rAr<yAr>0}  probada  previamente,  siendo  Sdiv  un  programa  de  PLW  que  calcula  la 
división  entera,  también  es  verdadera  considerando  el  dominio  de  los  números  reales,  un 
conjunto  finito  de  números  naturales  {n  |  n  <  max},  etc.  La  notación  correspondiente  para  el 
método  H  es  la  siguiente  (lo  mismo  aplica  para  D  y  O): 

Tr ,  |-  H  {P}  S  {q}  — >  |=  |  {p}  S  {q},  para  toda  interpretación  I 

Tr  I  contiene  todas  las  aserciones  verdaderas  con  respecto  a  la  interpretación  I.  Que  se 
cumpla  |=  i  {p}  S  {q}  significa  que  {p}  S  {q}  es  verdadera  considerando  I.  Como  en  este  caso  {p} 
S  {q}  es  verdadera  para  todas  las  interpretaciones,  se  dice  que  la  fórmula  es  válida. 

Con  la  sensatez  de  los  métodos  de  verificación  de  correctltud  total  la  cuestión  es  distinta  por 
la  utilización  de  las  funciones  cota,  que  tienen  que  estar  definidas  estrictamente  dentro  del 
dominio  semántico  de  los  números  naturales.  Es  decir,  la  interpretación  asociada  a  las 
funciones  cota  no  tiene  por  qué  coincidir  con  la  interpretación  asociada  a  la  computación  del 
programa  considerado.  Por  ejemplo,  sea  el  siguiente  programa  PLW: 

Seps ::  while  x  >  epsilon  do  x  :=  x  /  2  od 

Supongamos  que  las  variables  x  y  epsilon  son  de  tipo  real,  iniclalmente  mayores  que  cero. 
Claramente  se  cumple  (x  =  X)  Seps  (true),  porque  los  distintos  valores  positivos  de  x  constituyen 
Iteración  tras  Iteración  una  secuencia  decreciente  estricta,  y  epsilon  >  0.  Una  adecuada  función 
cota  para  este  caso  podría  ser: 

if  x  >  epsilon  then  [log2  X/epsilon]  -  log2  X/x  else  0  f¡ 
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Así  las  cosas,  ahora  lamentablemente  la  propiedad  deseada  de  sensatez  total  no  se 
cumple,  es  decir,  a  diferencia  de  la  Implicación  de  antes,  no  vale  la  siguiente: 

Tr  1 1—  H*  (P)  S  (q)  |=  i  (p)  S  (q),  para  toda  interpretación  I 

Y  lo  mismo  sucede  con  los  métodos  D*  y  O*.  Como  contraejemplo  podemos  mostrar 
simplemente  el  programa  S  ::  while  x  >  0  do  x  :=  x  -  1  od.  Mediante  el  método  H*  se  prueba 
fácilmente  la  fórmula  (true)  S  (true),  y  si  bien  interpretado  en  el  modelo  estándar  de  los 
números  naturales  S  siempre  termina,  no  lo  hace  interpretado  en  un  modelo  no  estándar  (en  el 
que  a  la  sucesión  infinita  inicial  asimilable  a  los  números  naturales  le  sigue  un  conjunto  de 
cadenas  de  números  no  estándar,  cada  una  de  ellas  sin  mínimo  ni  máximo)  cuando  el  valor 
inicial  de  la  variable  x  es  un  número  no  estándar.  Lo  que  se  suele  hacer  en  este  caso  es 
extender  mínimamente:  (a)  el  lenguaje  de  especificación  con  el  de  la  axiomática  de  Peano  (la 
habitual  de  los  números  naturales)  más  un  predicado  unario  N  que  denota  la  propiedad  “ser 
natural”,  y  correspondientemente  (b)  la  interpretación  I  considerada  con  el  dominio  de  los 
números  naturales  estándar  y  sus  operaciones  aritméticas  habituales.  A  la  Interpretación 
obtenida  a  partir  de  I  se  la  conoce  como  aritmética,  y  se  la  denota  con  l+.  Se  prueba  de  manera 
análoga  a  la  que  vimos  previamente  que: 

Tr  |+ 1-  H*  (p)  S  (q)  — >  |=  |+  (p)  S  (q),  para  toda  interpretación  l+ 

Esto  también  aplica  a  los  métodos  D*  y  O*.  En  este  caso  se  habla  de  sensatez  aritmética. 
De  esta  manera  ahora  el  problema  con  el  programa  S  anterior  desaparece,  porque  se  puede 
plantear  la  prueba  en  H*  de  la  fórmula  de  correctltud  total  (N(x))  S  (true),  para  que  los 
elementos  no  estándar  que  causan  la  no  terminación  no  satisfagan  la  precondición. 

En  lo  que  hace  a  la  completltud  de  los  métodos  de  verificación  de  programas,  la  clase  más 
básica  que  se  puede  plantear  es  la  completitud  semántica,  que  no  hemos  analizado  por 
enfocarnos  en  una  estricta  noción  de  prueba  sintáctica.  La  completltud  semántica  se  refiere 
solamente  a  la  existencia  de  conjuntos  de  estados  en  lugares  determinados,  Ignorando  la 
manera  de  expresarlos  en  un  lenguaje  de  especificación,  e  incluso  de  construirlos 
algorítmicamente. 

Cuando  tratamos  la  completltud  de  los  métodos  de  verificación  de  correctitud  parcial 
introdujimos  el  concepto  de  completltud  relativa.  Relativa  por  un  lado  al  conjunto  de  todas  las 
aserciones  verdaderas  de  la  Interpretación  I  utilizada  cuando  la  axiomática  asociada  es 
incompleta  (el  caso  por  ejemplo  de  los  números  naturales  y  los  números  enteros).  Y  por  otro 
lado  relativa  a  la  expresividad  del  lenguaje  de  especificación  con  respecto  al  lenguaje  de 
programación  y  la  interpretación  I,  que  se  cumple  cuando  se  puede  expresar  la  postcondición 
más  fuerte  de  cualquier  precondición  p  y  cualquier  programa  S,  es  decir  una  aserción  que 
denota  el  conjunto  de  estados  {o’  |  3o:  o  |=  p  a  val(Tr(S,  o))  =  oW  1}  considerando  I,  tal  como 
se  definió  en  la  descripción  del  método  H.  A  este  tipo  de  completltud  también  se  la  conoce 
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como  completitud  en  el  sentido  de  Cook.  Como  se  indicara  previamente,  hay  una  definición 
equivalente  teniendo  en  cuenta  la  precondición  más  débil.  Independientemente  de  habernos 
referido  solamente  a  los  números  enteros  estándar,  notar  que  de  la  prueba  de  la  completitud 
relativa  del  método  H  utilizando  PLW  que  desarrollamos  (y  la  del  método  D  utilizando  GCL), 
efectivamente  se  deduce  que  para  todo  lenguaje  de  especificación  y  toda  Interpretación  I,  si  el 
lenguaje  es  expresivo  con  respecto  a  PLW  (o  a  GCL)  e  I,  entonces: 

|=  ,  {p}  S  {q}  ->  Tr ,  |-  H  {p}  S  {q} 

Una  típica  estructura  a  utilizar  para  que  las  especificaciones  basadas  en  la  lógica  de  primer 
orden  sean  expresivas  es  la  axiomática  de  Peano,  ya  referida  en  un  par  de  ocasiones.  Es  una 
estructura  muy  rica  que  permite  codificar  con  números  naturales  computaciones  de  programas 
(por  ejemplo  recurriendo  al  procedimiento  de  gódelizaclón),  y  así  expresar  con  objetos  del 
dominio  las  postcondiciones  más  fuertes.  Como  contraejemplo,  la  aritmética  de  Presburger 
también  ya  mencionada,  que  no  tiene  la  multiplicación,  no  sirve  para  la  expresividad  requerida. 

Para  el  tratamiento  de  la  completitud  de  los  métodos  de  verificación  de  correctltud  total,  al 
Igual  que  en  el  caso  de  la  sensatez  se  suele  recurrir  a  las  interpretaciones  aritméticas.  El 
método  H*  (también  D*  y  O*)  tiene  completitud  aritmética'. 

|=  i+  (p)  S  (q)  -»  Tr  i+ 1-  H*  <p)  S  (q),  para  toda  interpretación  l+ 

La  interpretación  aritmética  también  debe  considerarse  en  el  caso  de  la  completitud  del 
método  O,  para  que  puedan  expresarse  las  historias  de  las  computaciones  que  emplean 
variables  auxiliares. 

Naturalmente  el  objetivo  a  perseguir  es  contar  con  métodos  de  prueba  sensatos,  completos 
(de  alguna  manera)  y  composlclonales,  cualquiera  sea  la  Interpretación  y  el  paradigma  de 
programación  considerados.  Lamentablemente  esto  no  puede  garantizarse,  en  particular  pero 
no  solamente  en  el  contexto  de  la  concurrencia,  en  que  las  propias  aserciones  llegan 
necesariamente  a  tener  estructuras  muy  complejas. 


Composicionalidad 

La  importancia  de  la  composicionalidad  en  un  método  de  verificación  radica  en  que  permite 
probar  (y  construir)  modularmente  un  programa,  favoreciendo  la  escalabilldad  y  así  la 
factibilidad  de  la  aplicación  del  método.  Vimos  que  la  concurrencia  constituye  un  desafío  para 
los  métodos  composlclonales.  En  concreto,  el  método  O  de  correctitud  parcial  para  los 
programas  concurrentes  SVL  descripto  previamente  no  es  composlclonal.  SI  bien  respeta  la 
estructura  modular  de  los  programas,  se  deben  establecer  aserciones  sobre  estados 
intermedios  no  capturadas  por  el  tipo  de  especificaciones  que  consideramos. 
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La  misma  autora,  S.  Owicki,  planteó  una  variante  de  dicha  aproximación  que  facilita  el 
chequeo  de  las  posibles  interferencias  (Owicki,  1976),  considerando  un  lenguaje  similar  a  SVL 
denominado  RVL  (por  resource  variables  language  en  inglés,  es  decir  lenguaje  de  recursos  de 
variables).  RVL  ofrece  una  primitiva  de  sincronización  que  fuerza  automáticamente  la  exclusión 
mutua  de  las  secciones  críticas,  de  la  forma: 

wlth  r¡  when  B  do  S  endwlth 

tal  que  r¡  es  un  recurso,  B  una  expresión  booleana  y  S  un  subprograma  de  PLW,  siendo  los 
recursos  conjuntos  disjuntos  de  variables.  Las  variables  de  los  recursos  solo  pueden  ser 
utilizadas  por  las  sentencias  wlth,  y  toda  variable  compartida  modificable  debe  estar  definida 
dentro  de  un  recurso  (de  esta  manera  se  pueden  identificar  claramente  las  secciones  críticas 
de  un  programa).  La  semántica  informal  del  wlth  es  la  siguiente:  cuando  un  componente 
secuencial  Sk  está  por  ejecutar  una  instrucción  wlth  r¡  when  B  do  S  endwlth,  si  r¡  está  libre  y  B 
es  verdadera,  entonces  Sk  puede  ocupar  el  recurso,  obtener  el  uso  exclusivo  del  mismo  y 
progresar  en  la  ejecución  del  wlth.  Recién  cuando  Sk  completa  el  wlth  libera  el  recurso,  para 
que  algún  otro  componente  lo  utilice.  No  hay  manejo  de  prioridades  sobre  los  recursos.  Los 
with  no  son  atómicos,  y  naturalmente  pueden  causar  deadlock.  El  mecanismo  descripto  es  una 
simplificación  de  los  monitores.  Un  monitor  es  más  sofisticado,  permite  establecer  políticas  de 
priorizaclón  de  procesos,  liberaciones  temporarias,  y  la  ¡mplementadón  de  tipos  de  datos 
abstractos,  encapsulando  datos  y  operaciones.  Una  regla  de  prueba  habitual  para  la  instrucción 
wlth  (regla  WITH),  asumiendo  para  simplificar  un  solo  recurso  r,  es: 

{lrApAB}S{lrAq} 

{p}  wlth  r  when  B  do  S  endwlth  {q} 

La  aserción  lr  es  un  invariante  asociado  al  recurso  r,  que  vale  toda  vez  que  el  recurso  está 
libre.  Las  variables  de  lr  están  en  r.  La  regla  establece  que  si  se  cumple  {p  a  B}  S  {q},  entonces 
también  se  cumple  {p}  with  r  when  B  do  S  endwith  {q},  pero  con  la  condición  de  que  la 
ejecución  de  S  preserve,  a  partir  de  p  a  B,  el  invariante  lr.  Para  la  composición  concurrente  se 
utiliza  la  meta-regla  SCC  (por  sección  crítica  condicional)'. 

{p-i}  S-i  {q-,},  ...  ,  {pn}  Sn  {qn},  proof  outlines  que  utilizan  lr 

{lr  A  P!  A  ...  APn}Si  ||  ...  ||  Sn{lr  A  q!  A  ...  A  qn} 

tal  que  para  todo  i  ^  k,  el  conjunto  de  las  variables  libres  de  p¡  y  q¡  y  el  conjunto  de  las 
variables  modificables  de  Sk  son  disjuntos,  y  las  variables  libres  de  lr  están  incluidas  en  r. 
Ahora,  en  la  segunda  etapa  de  la  prueba  no  se  necesita  chequear  que  las  proof  outlines  sean 
libres  de  interferencia,  porque  sus  aserciones  se  refieren  únicamente  a  variables  no 
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compartidas  o  a  variables  compartidas  de  solo  lectura.  La  información  de  las  variables 
compartidas  modificables  se  propaga  desde  el  comienzo  hasta  el  final  de  las  proof  outlines  a 
través  del  invariante  lr,  por  medio  de  las  distintas  aplicaciones  de  la  regla  WITH.  Al  comienzo 
vale  lr  porque  el  recurso  r  está  libre. 

Una  aproximación  composicional  para  correctitud  parcial  en  concurrencia  con  memoria 
compartida  es  la  de  C.  Jones  (Jones,  1981).  En  cada  componente  secuencial  se  consideran 
además  de  la  pre  y  postcondición,  dos  nuevas  expresiones:  una  condición  de  fiabilidad  ( rely 
condition)  para  especificar  lo  que  el  componente  “espera”  del  entorno  de  ejecución,  y  una  condición 
de  garantía  ( guarantee  condition)  que  expresa  cómo  influencia  el  componente  en  el  entorno.  Las 
condiciones  se  formulan  independientemente  de  la  implementaclón  de  los  componentes,  y  la 
verificación  incluye  probar  relaciones  entre  ellas  (lo  que  garantiza  un  componente  debe  implicar  lo 
que  esperan  los  otros  de  él).  Notar  que  de  esta  manera  la  complejidad  de  la  prueba  crece 
linealmente  con  respecto  a  la  cantidad  de  componentes,  ya  no  exponencialmente  como  en  la 
aproximación  anterior.  Detallando  un  poco,  el  método  conocido  como  “rely-guarantee”  consiste  en 
lo  siguiente,  considerando  para  simplificar  solo  dos  subprogramas  secuenciales  S-,  y  S2.  Dados  Si  y 
S2,  una  precondición  p  y  una  postcondición  q  para  Si  ||  S2,  y  un  conjunto  de  variables  auxiliarles  A, 
se  deben  definir  dos  tupias  (pi,  qi,  relyi,  guarí)  y  (p2,  q2,  rely2,  guar2)  para  Si  y  S2,  respectivamente, 
tal  que  Pi,  q-i,  p2  y  q2Son  aserciones  que  como  siempre  definen  conjuntos  de  estados,  y  relyi,  guarí, 
rely2  y  guar2  son  relaciones  binarias  que  definen  transformaciones  entre  las  variables  compartidas  y 
auxiliares.  El  significado  de  la  tupia  para  Si  es  que,  cuando  Si  se  ejecuta  a  partir  de  un  estado  que 
satisfice  pi,  en  un  entorno  que  puede  cambiar  las  variables  compartidas  y  auxiliares  según  relyi,  el 
componente  lleva  a  cabo  transformaciones  respetando  guarí,  y  si  termina  lo  hace  en  un  estado  que 
satisface  qv  Lo  mismo  aplica  para  S2.  De  este  modo,  si  las  pruebas  locales  de  Si  y  S2  satisfacen  las 
condiciones  establecidas  (en  particular,  si  los  invariantes  de  cada  S¡  se  preservan  considerando  su 
condición  rely¡),  entonces  se  logra  probar  {pi  a  p2}  Si  ||  S2  {q-i  a  q2},  aplicando  en  los  últimos  pasos  la 
regla  que  descarta  las  variables  auxiliares,  y  la  prueba  de  que  p  — »  p-i  a  p2,  y  qi  a  q2— >  q. 

Aproximaciones  como  la  de  Jones  no  hacen  obsoletas  aproximaciones  como  la  de  Owlckl. 
En  general,  los  métodos  no  composicionales  son  más  fáciles  de  utilizar  que  los 
composlclonales,  particularmente  en  el  caso  de  los  programas  concurrentes  con  variables 
compartidas  (por  ejemplo,  se  torna  menos  dificultoso  expresar  los  Invariantes).  De  hecho  hay 
pocos  ejemplos  de  programas  no  triviales  verificados  con  una  técnica  composicional. 


Composicionalidad  con  lógica  temporal 

Hemos  descripto  un  método  de  verificación  de  programas  reactivos  especificados  con  lógica 
temporal  alineado  con  la  aproximación  global:  ignora  la  estructura  de  los  programas,  trata 
directamente  las  computaciones  como  un  todo.  Un  conocido  enfoque  composicional  para  la 
verificación  de  distintas  propiedades  y  el  desarrollo  sistemático  de  programas  concurrentes  con 
variables  compartidas  se  basa  en  el  lenguaje  UNITY  (por  unbounded  non  deterministic  iterative 
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transformations  en  inglés,  es  decir  transformaciones  iterativas  no  determinísticas  y  no 
acotadas).  El  método  se  presentó  en  (Chandy  &  Misra,  1988),  y  se  lo  considera  fundacional 
para  la  construcción  de  programas  concurrentes  correctos,  con  una  relevancia  comparable  a  la 
del  método  introducido  por  E.  Dljkstra  una  década  atrás  para  programas  secuenciales.  Los 
programas  son  de  entrada/salida  o  reactivos,  se  especifican  utilizando  lógica  temporal,  no 
tienen  flujo  de  control,  y  las  instrucciones  son  asignaciones  que  se  ejecutan  de  una  manera  no 
determinístlca  hasta  que  eventualmente  no  hay  más  cambios  en  los  estados,  conveliéndose 
en  lo  que  se  conoce  como  punto  fijo. 

Las  propiedades  que  se  consideran  en  un  programa  UNITY  son: 

•  p  unless  q.  SI  se  cumple  p  alguna  vez  entonces  q  nunca  se  cumple  y  p  se  cumple  para 
siempre,  o  bien  q  se  cumple  a  futuro  y  p  se  cumple  al  menos  hasta  que  q  se  cumple.  Dos 
casos  particulares  son  stable  p  e  invariant  p.  El  primer  caso  establece  que  si  se  cumple  p 
alguna  vez  entonces  se  cumple  para  siempre,  y  el  segundo  caso  que  p  vale  siempre  y 
desde  el  inicio.  Estas  son  las  propiedades  safety. 

•  p  ensures  q.  SI  se  cumple  p  alguna  vez  entonces  p  sigue  valiendo  mientras  no  se  cumpla 
q,  y  a  futuro  se  cumple  q. 

•  p  leads-to  q.  Una  vez  que  se  cumple  p,  se  cumple  q  o  a  futuro  se  cumple  q.  Nada  se  puede 
decir  acerca  de  si  p  sigue  valiendo  mientras  no  se  cumpla  q.  Esta  propiedad  y  la  anterior 
son  las  propiedades  de  progreso. 

El  método  se  basa  en  dos  estrategias  de  composición,  la  unión  y  la  superposición.  La  unión 
de  dos  programas,  que  pueden  compartir  variables,  es  simplemente  la  concatenación  de 
ámbos.  La  unión  de  P-i  con  P2  se  denota  con  P-i  ||  P2.  Se  demuestra  que: 

•  Se  cumple  p  unless  q  en  P-i  ||  P2  si  se  cumple  p  unless  q  en  Pí  y  se  cumple  p  unless  q  en  P2. 

•  Se  cumple  p  ensures  q  en  Pt  ||  P2  si  se  cumple  p  ensures  q  en  un  programa  y  p  unless  q  en 
el  otro. 

Lamentablemente,  no  se  puede  afirmar  que  p  leads-to  q  se  cumple  en  Pi  ||  P2  aún  valiendo 
en  los  dos  programas.  De  todos  modos,  el  método  propone  un  mecanismo  general  que  permite 
inferir  propiedades  en  P-i  ||  P2  a  partir  de  propiedades  de  los  programas,  lo  que  se  conoce  como 
propiedades  condicionadas. 

Por  su  parte,  la  superposición  no  es  más  que  la  estrategia  de  programar  por  capas.  A  una 
nueva  capa  se  le  agregan  variables  y  asignaciones  que  no  alteran  el  cómputo  de  las  capas 
inferiores.  De  esta  manera,  entre  la  unión  y  la  superposición  se  cubren  las  estrategias  de 
descomposición  y  refinamiento,  respectivamente,  para  el  desarrollo  sistemático  de  programas. 
La  ausencia  de  una  noción  de  descomposición  en  la  superposición  limita  su  tratamiento 
algebraico.  La  estrategia  exige  en  general  un  conocimiento  íntimo  del  programa  subyacente.  A 
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favor  de  la  superposición  se  tiene  entre  otras  cosas  que  facilita  probar  propiedades,  y 
naturalmente  que  preserva  las  propiedades  de  las  capas  inferiores  al  no  alterar  sus  cómputos. 


Lógicas  temporales 

A.  Pnueli  fue  quien  primero  consideró  la  lógica  temporal  para  la  verificación  de  programas 
(Pnueli,  1977).  La  semántica  asignada  a  los  programas  era  la  que  utilizamos  en  nuestro 
capítulo,  lineal,  según  la  cual  un  programa  es  el  conjunto  de  todas  sus  computaciones,  siendo 
una  computación  una  secuencia  de  estados  generados  a  partir  de  la  ejecución  de  instrucciones 
atómicas,  una  por  vez  (la  ejecución  concurrente  de  los  procesos  la  representamos  por  la 
intercalación  de  las  mismas,  incluyendo  algún  tipo  de  fairness  que  evita  determinadas 
intercalaciones  “injustas”).  Una  de  las  debilidades  de  esta  aproximación  es  que  omite  la 
información  de  dónde  en  un  programa  se  elige  una  entre  varias  posibilidades.  Por  ejemplo,  si 
or  representa  como  vimos  antes  una  selección  no  determinístlca,  el  programa  S  ;  (T  or  U) 
resulta  semánticamente  equivalente  al  programa  (S  ;  T)  or  (S  ;  U),  si  bien  en  el  primer  caso  se 
decide  entre  T  o  U  después  de  la  ejecución  de  S,  mientras  que  en  el  segundo  caso  se  decide 
antes.  Otra  debilidad  es  la  imposibilidad  de  distinguir  entre  el  no  deterninismo  causado  por  una 
selección  no  determinística  y  el  introducido  por  la  semántica  de  intercalación  para  la 
concurrencia.  Por  ejemplo,  (S  ;  T)  or  (T  ;  S)  y  S  ||  T  resultan  ser  programas  semánticamente 
equivalentes  a  pesar  de  sus  claras  diferencias. 

Una  alternativa  a  la  semántica  lineal  es  la  semántica  ramificada  ( branching  en  inglés).  En 
este  caso  un  programa  es  un  árbol  de  estados,  cada  nodo  n  representa  un  estado  o  y  los  hijos 
de  n  son  todos  los  estados  o’  que  pueden  suceder  a  o  por  la  ejecución  de  una  instrucción 
atómica.  Siguiendo  con  los  ejemplos  anteriores,  ahora  se  puede  distinguir  entre  los  programas 
S  ;  (T  or  U)  y  (S  ;  T)  or  (S  ;  U),  pero  por  la  semántica  de  intercalación,  (S  ;  T)  or  (T  ;  S)  y  S  ||  T 
siguen  siendo  semánticamente  equivalentes. 

Una  semántica  para  la  concurrencia  que  sí  resuelve  las  dos  debilidades  referidas  es  la 
semántica  de  orden  parcial,  para  la  que  un  programa  es  una  estructura  de  estados  con  dos 
relaciones,  una  de  precedencia  y  otra  de  conflicto.  Dos  estados  (y  acciones)  están  en  conflicto 
si  no  pueden  integrar  una  misma  computación.  Por  ejemplo,  S  y  U  están  en  conflicto  en  (S  ;  T) 
or  (U  ;  V).  La  relación  de  conflicto  se  extiende  por  la  relación  de  precedencia:  en  el  mismo 
programa,  S  y  U  preceden  a  T  y  V,  respectivamente,  por  lo  que  cada  elemento  de  {S,  T}  está 
en  conflicto  con  cada  elemento  de  {U,  V}.  Dos  estados  (y  acciones)  no  afectados  por 
precedencia  ni  conflicto  se  consideran  independientes',  pueden  ser  ejecutados  en  paralelo.  Así, 
esta  semántica  Identifica  la  concurrencia  como  un  fenómeno  distintivo,  no  traducible  a  una 
intercalación.  Por  ejemplo,  en  S  ||  T,  S  y  T  son  independientes,  mientras  que  en  (S  ;  T)  or  (T  ; 
S)  existen  cuatro  componentes,  digamos  T-i,  S2  y  T2,  que  cumplen  S-i  <  T-,,  T2  <  S2,  y  cada 
elemento  de  {S-i,  T-,}  está  en  conflicto  con  cada  elemento  de  {T2,  S2};  claramente  estos  dos 
programas  tienen  estructuras  distintas.  De  la  misma  manera,  S  ;  (T  or  U)  difiere  de  (S  ;  T)  or  (S 
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;  U):  por  ejemplo,  la  estructura  correspondiente  al  segundo  programa  tiene  dos  componentes 
Si  y  S2  en  conflicto. 

Las  distintas  semánticas  mencionadas  se  corresponden  con  distintas  lógicas  temporales, 
lineal,  ramificada  y  lógica  sobre  órdenes  parciales.  Acerca  de  la  primera  ya  profundizamos  en 
la  segunda  parte  del  capítulo.  Diremos  algo  más  sobre  ella,  y  también  consideraremos 
aspectos  de  la  lógica  ramificada,  en  ambos  casos  limitándonos  a  lo  proposlclonal. 


Lógicas  LTL,  CTL  y  CTL* 

LTL  (por  linear-time  temporal  loglc  en  inglés,  es  decir  lógica  temporal  lineal)  es  una 
conocida  lógica  temporal  lineal  con  operadores  de  futuro  y  cuyas  fórmulas  expresan 
propiedades  sobre  computaciones  infinitas.  Una  fórmula  cp  de  LTL  tiene  la  siguiente  sintaxis: 

cp::T|F|p|-'cp|(pv(p|cpA(p|cp— >(p|X(p|G(p|Fcp|(pU(p|cpUwcp|cpR(p 

p  es  una  proposición  atómica  perteneciente  a  un  conjunto  PA,  y  T  y  F  son  las  constantes 
que  representan  los  valores  verdadero  y  falso,  respectivamente.  La  semántica  de  LTL  se  define 
sobre  sistemas  de  transiciones  de  la  forma  M  =  (E,  — L),  donde  E  es  un  conjunto  de  estados, 
— *  es  una  relación  binaria  en  Z  tal  que  para  todo  estado  o  existe  otro  estado  o’  que  cumple  o 
— »  o’,  y  L  es  una  función  L:  Z  — >  P(PA)  que  asigna  a  todo  estado  un  conjunto  de  proposiciones 
atómicas  del  conjunto  PA.  La  definición  semántica  la  hemos  definido  prácticamente  toda 
previamente,  salvo  el  caso  de  las  constantes,  las  proposiciones  atómicas  y  el  operador  R.  Se 
define,  dada  una  computación  tt  =  o0,  au  ...: 

•  (tt,  i)  i=  T 

•  (tt,  i)  p  F 

•  (tt,  i)  t=  p  < — >  p  G  L(o¡) 

•  (tt,  i)  i=  <piR<p2  <-»  (a)  existe  algún  j  >  I  tal  que  (tt,  j)  i=  cpi,  y  para  todo  k,  siendo  I  <  k  <  j,  se 
cumple  (tt,  k)  i=  cp2,  o  bien  (b)  para  todo  j  >  i,  se  cumple  (tt,  j)  i=  cp2.  R  es  el  operador  release 
(libera).  Difiere  de  Uw  por  permutar  los  roles  de  cp-,  y  cp2,  y  porque  ahora  en  la  parte  (a)  k 
alcanza  a  j. 

Se  puede  reducir  la  cantidad  de  operadores  temporales  de  LTL  sin  alterar  su  expresividad: 
se  prueba  que  cualquiera  de  los  conjuntos  {U,  X},  {Uw,  X}  o  {R,  X}  es  adecuado.  Además, 
añadir  operadores  de  pasado  no  agrega  poder  expresivo.  Esto  se  puede  explicar  porque  los 
operadores  de  pasado  permiten  recorrer  hacia  atrás  una  computación  para  alcanzar  estados 
que  pueden  alcanzarse  recorriendo  hacia  adelante  la  computación  desde  su  inicio. 

Como  las  fórmulas  de  LTL  se  evalúan  sobre  computaciones,  se  define  que  a  partir  de  un 
estado  o  se  cumple  una  fórmula  si  todas  las  computaciones  a  partir  de  o  la  satisfacen.  Así,  las 
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fórmulas  de  LTL  están  implícitamente  cuantlflcadas  universalmente,  por  lo  que  no  pueden 
expresar  propiedades  sobre  algunas  computaciones.  Este  problema  se  puede  resolver 
considerando  la  negación  de  una  fórmula:  existe  una  computación  que  satisface  cp  si  y  solo  si 
no  todas  las  computaciones  satisfacen  -cp.  Pero  esto  solo  es  posible  cuando  una  propiedad  se 
puede  formular  sin  combinar  cuantificadores  universales  y  exlstenciales. 

CTL  (por  computaron  tree  logic  en  inglés,  es  decir  lógica  sobre  un  árbol  de  computaciones) 
es  una  conocida  lógica  temporal  basada  en  una  semántica  ramificada  y  resuelve  el  problema 
referido.  Además  de  los  operadores  de  futuro  X,  G,  F  y  U,  utiliza  los  cuantificadores  A  y  E, 
universal  y  exlstenclal,  respectivamente.  Una  fórmula  cp  de  CTL  tiene  la  siguiente  sintaxis: 

cp::  T|F|p|-'cp|cpvcp|cpAcp|cp->cp| 

AXcp  |  EXcp  |  AGcp  |  EGcp  |  AFcp  |  EFcp  |  A(cp  U  cp)  |  E(cp  U  cp) 

Todo  operador  temporal  de  CTL  tiene  dos  símbolos,  el  primero  de  los  cuales  es  un 
cuantificador.  Los  operadores  Uw  y  R  no  están  incluidos  en  el  lenguaje,  se  pueden  derivar  a 
partir  de  los  existentes.  La  semántica  de  los  operadores  AX  y  EX  se  define  de  la  siguiente 
manera: 

•  (n,  i)  i=  AXcp  <-»  para  todo  estado  o’  tal  que  o¡  — »  o’,  se  cumple  o’  i=  cp. 

•  (tt,  i)  i=  EXcp  <-»  para  algún  estado  o’  tal  que  o¡  — >  o’,  se  cumple  o’  cp. 

De  un  modo  similar  se  puede  definir  la  semántica  del  resto  de  los  operadores  cuantificados. 
Como  en  el  caso  de  LTL,  también  se  puede  reducir  la  cantidad  de  operadores  de  CTL  sin 
alterar  su  expresividad:  se  prueba  que  alcanza  con  algún  operador  de  {AX,  EX},  algún  operador 
de  {EG,  AF,  AU},  y  el  operador  EU,  que  juega  un  rol  especial  por  la  Inexistencia  de  Uw  y  R. 
Pero  ahora  agregando  operadores  de  pasado  se  incrementa  el  poder  expresivo,  dada  la 
estructura  arbórea  asociada  a  la  semántica  de  CTL.  Otra  característica  Importante  del  lenguaje, 
conocida  como  punto  fijo,  es  que  los  operadores  AG,  EG,  AF,  EF,  AU  y  EU  se  pueden  expresar 
en  términos  de  ellos  mismos  y  de  AX  y  EX,  de  una  manera  inductiva.  Por  ejemplo,  vale  AGcp  = 
cp  a  AXAGcp,  y  E(cp-i  U  cp2)  =  cp2  v  (cp!  a  EXE(cp-i  U  cp2)). 

CTL*  es  otra  conocida  lógica  temporal,  que  combina  la  expresividad  de  la  lógica  lineal  LTL  y 
la  lógica  ramificada  CTL.  Elimina  la  restricción  sintáctica  de  CTL  con  respecto  a  los 
cuantificadores  A  y  E.  Contiene  fórmulas  de  estado  y  fórmulas  de  camino.  Una  fórmula  de 
estado  cp  tiene  la  siguiente  sintaxis: 

cp  ::  T  |  p  |  -cp  |  cp  a  cp  |  Acp  |  Ecp 

La  fórmula  ip  es  una  fórmula  de  camino.  Una  fórmula  de  camino  cp  tiene  la  sintaxis: 

cp  ::  cp  |  -cp  |  cp  a  cp  |  Xcp  |  Gip  |  Fip  |  cp  U  cp 
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La  fórmula  cp  es  una  fórmula  de  estado. 

CTL  permite  explícitamente  cuantificar  computaciones,  por  lo  que  en  este  sentido  es  más 
expresiva  que  LTL.  Por  ejemplo,  se  prueba  que  la  fórmula  AGEFp,  que  expresa  que  siempre  se 
puede  alcanzar  un  estado  que  satisfaga  p  (útil  por  ejemplo  para  encontrar  deadlocks  en 
protocolos),  no  es  expresable  en  LTL.  Otro  ejemplo  se  relaciona  con  una  instancia  del 
problema  de  exclusión  mutua:  (a)  Un  conjunto  de  procesos  P-i,  ...,  Pn  funcionan  como  terminal 
servers.  (b)  Un  proceso  P¡  puede  recibir  o  no  un  carácter,  y  así  puede  permanecer  siempre  en 
su  sección  no  crítica  SNC¡  mientras  otros  procesos  reciben  y  procesan  caracteres,  o  puede 
recibir  un  carácter  e  intentar  ingresar  a  su  sección  crítica  SC¡  (estado  TRY¡).  Para  expresar  esta 
propiedad,  considerando  a  P¡  en  SNC¡,  se  puede  usar  la  fórmula  EG(inSNC¡)  a  EF(inTRY¡)  a 
A(G(inSNC¡)  v  F(inTRY¡)),  que  se  prueba  no  es  expresable  en  LTL  (notar  que  la  fórmula 
candidata  G(inSNC¡)  v  F(inTRY¡)  no  sirve  porque  contempla  el  caso  en  que  todas  las 
computaciones  satisfacen  F(lnTRY¡)  y  ninguna  satisface  G(inSNC¡)). 

Como  contrapartida,  a  diferencia  de  LTL,  CTL  no  permite  entre  otras  cosas  seleccionar  un 
rango  de  computaciones  para  describirlas  mediante  una  fórmula,  por  lo  que  en  este  sentido 
LTL  es  más  expresiva  que  CTL.  Por  ejemplo,  en  LTL  se  puede  expresar  la  propiedad  que 
establece  que  en  todas  las  computaciones  en  que  se  cumple  p  también  se  cumple  q,  mediante 
la  fórmula  Fp  — ■>  Fq.  Se  prueba  que  en  CTL  esta  propiedad  no  puede  expresarse,  y  el  motivo 
es  la  obligación  de  anteponer  un  cuantlflcador  al  operador  F  (la  fórmula  candidata  AFp  — ■»  AFq 
no  expresa  lo  mismo,  tampoco  AG(p  — >  AFq)).  Otro  caso  tiene  que  ver  con  el  fairness:  solo 
LTL  permite  expresarlo.  Por  ejemplo,  la  fórmula  GFp  — >  Fq,  que  establece  que  si  p  se  cumple 
infinitas  veces  entonces  también  se  cumple  q,  no  es  expresable  en  CTL. 

CTL*  es  más  expresiva  que  LTL  y  CTL.  Por  ejemplo,  se  prueba  que  la  fórmula  EGFp  de 
CTL*,  que  expresa  que  existe  una  computación  en  que  se  cumple  infinitas  veces  p,  no  es 
expresable  en  los  otras  dos  lógicas. 

La  cuestión  de  cuál  es  la  “mejor”  de  las  lógicas  en  términos  prácticos  viene  siendo  desde 
hace  mucho  tiempo  materia  de  debate.  Lógicas  temporales  lineales  como  LTL  son  muy 
populares  por  su  simplicidad.  En  particular  se  las  consideran  adecuadas  para  verificar 
programas  concurrentes.  Es  natural  en  este  contexto  querer  asegurar  que  una  propiedad  se 
cumpla  en  todas  las  computaciones.  En  cuanto  a  las  actividades  de  especificación  y  diseño  en 
cambio,  la  necesidad  de  expresar  la  existencia  de  computaciones  alternativas  puede  motivar  la 
preferencia  por  una  lógica  temporal  ramificada,  teniendo  en  cuenta  el  no  determinlsmo 
presente  en  muchos  programas  concurrentes.  Particularmente  estas  lógicas  resultan  útiles 
para  la  síntesis  o  derivación  automática  de  programas,  en  que  se  requieren  especificaciones 
muy  precisas  (se  podría  también  recurrir  a  la  lógica  lineal,  pero  utilizando  algunos  artificios  para 
asegurar  la  existencia  de  computaciones  alternativas).  La  cuantificación  explícita  puede  ayudar 
también  a  asegurar  que  un  programa  exhiba  un  adecuado  grado  de  paralelismo,  es  decir  que 
no  degenere  en  un  programa  que  ejecuta  una  sola  computación.  En  definitiva,  en  general  está 
aceptado  que  debería  usarse  el  subconjunto  de  CTL*  más  apropiado  para  el  propósito 
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buscado,  teniendo  en  cuenta  parámetros  como  la  expresividad  y  la  complejidad  computacional 
de  la  prueba  de  satisfactibilidad. 


Model  checking 

A  lo  largo  de  todo  el  capítulo  nos  hemos  centrado  en  la  verificación  de  programas  conocida 
como  orientada  a  pruebas  (proof  oriented  o  theorem  proving  en  inglés),  aproximación  según  la 
cual  un  programa  o  sistema  y  las  propiedades  a  probar  en  él  se  expresan  mediante  fórmulas 
de  una  lógica.  Las  pruebas  pueden  construirse  manualmente  o  con  soporte  herramental,  este 
último  habiendo  progresado  sustanclalmente  en  los  últimos  años  (cada  vez  es  más  profuso  el 
uso  de  demostradores  de  teoremas  automáticos  o  seml-automátlcos  para  probar  propiedades 
críticas  en  el  hardware  y  software). 

Hay  otra  aproximación,  muy  difundida,  que  es  el  model  checking  (del  inglés:  chegueo  o 
verificación  de  modelos).  Surgió  en  1981  con  el  trabajo  de  E.  Clarke  y  E.  Emerson  (Clarke  & 
Emerson,  1981).  El  model  checking  consiste  en  construir  un  modelo  finito  de  un  programa  o 
sistema  y  chequear  que  una  determinada  propiedad  es  satisfecha  por  el  modelo.  El  chequeo  se 
lleva  a  cabo  mediante  una  búsqueda  exhaustiva  a  lo  largo  del  espacio  de  estados  construido, 
que  se  garantiza  que  termina  por  la  finitud  del  modelo.  A  diferencia  de  la  verificación  orientada 
a  pruebas,  esta  aproximación  es  completamente  automática  y  rápida,  en  algunas  ocasiones 
produciendo  una  respuesta  en  cuestión  de  minutos.  El  desafío  algorítmico  radica 
fundamentalmente  en  el  manejo  de  estructuras  de  datos  muy  grandes,  lo  que  se  conoce  como 
el  problema  de  la  explosión  de  estados. 

El  model  checking  se  basó  inicialmente  en  especificaciones  en  lógica  temporal,  pero  desde 
los  años  1990  también  considera  el  formalismo  de  los  autómatas  de  predicados.  Dichos 
autómatas  contienen  un  conjunto  de  condiciones  de  transición  que  establecen  cuándo  se 
puede  avanzar  de  un  estado  a  otro,  un  subconjunto  de  estados  recurrentes  R,  y  un  subconjunto 
de  estados  persistentes  P.  Las  cadenas  de  entrada  representan  computaciones  infinitas,  cuyo 
primer  estado  coincide  con  el  primer  estado  del  autómata.  Se  define  que  un  autómata  de 
predicados  acepta  una  computación,  si  en  todas  sus  trazas  el  conjunto  de  estados  que  ocurre 
infinitas  veces  no  es  disjunto  con  R  o  bien  está  incluido  en  P. 

Para  verificar  una  fórmula  cp  en  un  programa  especificado  con  una  lógica  como  CTL,  el 
algoritmo  típico  de  model  checking  consiste,  dado  un  sistema  de  transiciones  o  modelo  M,  en 
etiquetar  los  estados  que  satisfacen  cp.  Se  basa  en  la  propiedad  de  punto  fijo  mencionada  en 
el  apartado  anterior.  Se  empieza  con  poblar  los  estados  con  las  subfórmulas  más  pequeñas, 
y  luego  iterativamente  se  tratan  las  subfórmulas  de  mayor  longitud,  considerando  todos  los 
casos  de  los  operadores,  hasta  llegar  a  la  fórmula  completa  cp.  El  algoritmo  es  eficiente  en 
términos  de  tiempo  con  respecto  tanto  al  tamaño  de  cp  como  de  M.  Dada  la  imposibilidad  de 
tratar  sintácticamente  el  fairness,  esta  restricción  debe  establecerse  directamente  a  través 
del  algoritmo. 
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Para  el  caso  de  programas  especificados  con  lógicas  como  LTL  existen  varios  algoritmos  de 
model  checking,  pero  todos  se  basan  en  una  misma  estrategia  general,  tomando  como  base  el 
formalismo  de  los  autómatas  de  predicados  pero  combinado  con  el  uso  de  fórmulas  de  lógica 
temporal.  Con  más  detalle,  para  verificar  que  M  satisface  cp,  es  decir  que  cp  se  cumple  en  todas 
las  computaciones  de  M,  básicamente:  (1)  Se  construye  un  autómata  A  para  reconocer  la 
fórmula  _,q>,  es  decir  para  aceptar  todas  las  correspondientes  secuencias  de  valuaciones  de 
proposiciones  atómicas  que  satisfacen  “■cp.  (2)  Se  combina  A  con  M,  lo  que  produce  entonces 
un  sistema  de  transiciones  cuyos  caminos  son  tanto  de  A  como  de  M.  (3)  El  model  checker 
acepta  si  y  solo  si  no  existe  ningún  camino  en  el  sistema  obtenido,  porque  entonces  ninguna 
computación  satisface  _,cp.  Esta  estrategia  es  más  costosa  que  la  que  describimos  para  lógicas 
como  CTL,  lo  que  tiene  sentido  porque  las  fórmulas  deben  ser  evaluadas  en  caminos  en  lugar 
de  estados:  en  términos  de  tiempo  es  polinomial  con  respecto  al  tamaño  de  M  y  exponencial 
con  respecto  al  tamaño  de  la  fórmula. 
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